1033 



ΕΦΗΜΕΡΙΣΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ 

ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ 

ΤΕΥΧΟΣ ΔΕΥΤΕΡΟ Αρ. Φύλλου 88 

26 Ιανουάριου 2005 


ΠΕΡΙΕΧΟΜΕΝΑ 


ΑΠΟΦΑΣΕΙΣ 

Κανονισμός για την Διασφάλιση του Απορρήτου στις 
Διαδικτυακές Επικοινωνίες και τις συναφείς Υπηρε¬ 
σίες και Εφαρμογές. 1 

Κανονισμός για τη Διασφάλιση του Απορρήτου Διαδι¬ 
κτυακών Υποδομών. 2 

Κανονισμός για τη Διασφάλιση του Απορρήτου Εφαρ¬ 
μογών και Χρήστη Διαδικτύου. 3 


ΑΠΟΦΑΣΕΙ Σ 

Αριθ. 632 α (1) 

Κανονισμός για την Διασφάλιση του Απορρήτου στις Δια¬ 
δικτυακάς Επικοινωνίες και τις συναφείς Υπηρεσίες 
και Εφαρμογές. 

Η ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ 
ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΕΑ) 

Έχοντας υπόψη: 

α. Το Ν. 3115/27.2.2003, άρθρο 1, παραγρ. 1. 

β. Το Ν. 3115/27.2.2003, άρθρο 6, παραγρ. 1. 

γ. Ότι εκ της αποφάσεως δεν προκύπτει δαπάνη για το 
δημόσιο. 

δ. Τη σχετική εισήγηση της Υπηρεσίας, αποφάσισε: 

Κατά τη συνεδρίασή της την 10η Νοεμβρίου 2004, την 
έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση 
του Απορρήτου στις Διαδικτυακάς Επικοινωνίες και τις 
συναφείς Υπηρεσίες και Εφαρμογές. 

ΚΕΦΑΛΑΙΟ I 
ΣΚΟΠΟΣ-ΟΡΙΣΜΟΙ 

Άρθρο 1 

Σκοπός - Πεδίο Εφαρμογής 

1. Σκοπός του παρόντος Κανονισμού είναι: 

(α) Η διασφάλιση του απορρήτου των διαδικτυακών επι¬ 
κοινωνιών. 

(β) Η ασφάλεια των διαδικτυακών τηλεπικοινωνιακών 
φορέων και Δημοσίων οργανισμών. 


(γ) Η θέσπιση των υποχρεώσεων των εν λόγω φορέων 
αναφορικά με την ασφάλεια και το απόρρητο των επικοι¬ 
νωνιών. 

(δ) Ο έλεγχος στους εν λόγω φορείς σχετικά με τις ανω¬ 
τέρω αναφερόμενες υποχρεώσεις τους. 

2. Στις διατάξεις του παρόντος Κανονισμού εμπίπτουν 
όλοι οι Τηλεπικοινωνιακοί Φορείς Διαδικτύου και οι Δημό¬ 
σιοι Οργανισμοί και ιδιαίτερα: 

(α) Πάροχοι πρόσβασης στο Διαδίκτυο (σταθεροί και κι¬ 
νητοί τηλεπικοινωνιακοί πάροχοι, ΙπΙθγπθϊ δθη/ίοο 
ΡΓονίάθΓε κλπ.) 

(β) Πάροχοι διαδικτυακών υπηρεσιών 

(γ) Πάροχοι διαδικτυακών υπηρεσιών προστιθέμενης 
αξίας. 

Άρθρο 2 
Ορισμοί 

Για την εφαρμογή του παρόντος Κανονισμού οι ακό¬ 
λουθοι όροι έχουν την έννοια που τους αποδίδεται κατω¬ 
τέρω: 

Δίκτυο ηλεκτρονικών επικοινωνιών: τα συστήματα με¬ 
τάδοσης και, κατά περίπτωση, ο εξοπλισμός μεταγωγής ή 
δρομολόγησης και οι λοιποί πόροι που επιτρέπουν τη με¬ 
ταφορά σημάτων, με τη χρήση καλωδίου, ραδιοσημάτων, 
οπτικού ή άλλου ηλεκτρομαγνητικού μέσου, συμπεριλαμ¬ 
βανομένων των δορυφορικών δικτύων, των σταθερών 
(μεταγωγής δεδομένων μέσω κυκλωμάτων και πακετομε- 
ταγωγής, συμπεριλαμβανομένου του Διαδικτύου) και κι¬ 
νητών επίγειων δικτύων, των συστημάτων ηλεκτρικών κα¬ 
λωδίων, εφόσον χρησιμοποιούνται για τη μετάδοση ση¬ 
μάτων, των δικτύων που χρησιμοποιούνται για 
ραδιοτηλεοπτικές εκπομπές, καθώς και των δικτύων κα¬ 
λωδιακής τηλεόρασης, ανεξάρτητα από το είδος των με- 
ταφερόμενων πληροφοριών. 

Υπηρεσίες ηλεκτρονικών επικοινωνιών: οι υπηρεσίες 
που παρέχονται συνήθως έναντι αμοιβής και των οποίων 
η παροχή συνίσταται, εν όλω ή εν μέρει, στη μεταφορά 
σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών, συμπερι¬ 
λαμβανομένων των υπηρεσιών τηλεπικοινωνιών και των 
υπηρεσιών μετάδοσης σε δίκτυα που χρησιμοποιούνται 
για ραδιοτηλεοπτικές μεταδόσεις. Στις υπηρεσίες ηλε¬ 
κτρονικών επικοινωνιών δεν περιλαμβάνονται υπηρεσίες 
παροχής ή ελέγχου περιεχομένου που μεταδίδεται μέσω 
δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και 
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υπηρεσίες της κοινωνίας της πληροφορίας, όπως αυτές 
ορίζονται στην παράγραφο 2 του άρθρου 2 του Π.Δ. 
39/2001 (Α' 28), και που δεν αφορούν, εν άλω ή εν μέρει, 
τη μεταφορά σημάτων σε δίκτυα επικοινωνιών. 

Διαδικτυακές επικοινωνίες: Υπηρεσίες ηλεκτρονικών 
επικοινωνιών όπου το δίκτυο ηλεκτρονικών επικοινωνιών 
είναι δίκτυο μετάδοσης δεδομένων και φωνής με πακετο¬ 
μεταγωγή το οποίο είτε έχει τη μορφή ενδοδικτύου (Ιη- 
ΐΓ3Π6ί) είτε είναι ολόκληρο το Διαδίκτυο (ΙηΙθίτίθΙ). 

Παροχή δικτύου διαδικτυακών επικοινωνιών: η σύστα¬ 
ση, η λειτουργία, ο έλεγχος και η διάθεση τέτοιου δικτύ¬ 
ου. 

Πάροχος δικτύου διαδικτυακών επικοινωνιών: Η επιχεί¬ 
ρηση ή το νομικό πρόσωπο που παρέχει δίκτυο διαδι¬ 
κτυακών επικοινωνιών ή/και το νομικό πρόσωπο που πα¬ 
ρέχει στο προσωπικό του την απαραίτητη δικτυακή υπο¬ 
δομή για χρήση διαδικτυακών επικοινωνιών στα πλαίσια 
της εργασίας του. Για τις ανάγκες του παρόντος ο πάρο¬ 
χος δικτύου διαδικτυακών επικοινωνιών θα αναφέρεται 
στη συνέχεια του κειμένου ως «πάροχος». 

Χρήστης: κάθε φυσικό πρόσωπο που χρησιμοποιεί δια¬ 
θέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, 
για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να 
είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας. 

Χρήστης Παρόχου: κάθε φυσικό πρόσωπο που εργάζε¬ 
ται στην επιχείρηση ή στο νομικό πρόσωπο που παρέχει 
στο προσωπικό του την απαραίτητη δικτυακή υποδομή 
για χρήση διαδικτυακών επικοινωνιών στα πλαίσια της ερ¬ 
γασίας του. 

Δεδομένα κίνησης: τα δεδομένα που υποβάλλονται σε 
επεξεργασία για τους σκοπούς της διαβίβασης μιας επι¬ 
κοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της 
χρέωσήςτης. 

Δεδομένα θέσης: τα δεδομένα που υποβάλλονται σε 
επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών και 
που υποδεικνύουν τη γεωγραφική θέση του τερματικού 
εξοπλισμού του χρήστη μιας διαθέσιμης στο κοινό υπη¬ 
ρεσίας ηλεκτρονικών επικοινωνιών. 

Συγκατάθεση του χρήστη ή του συνδρομητή: η συγκα¬ 
τάθεση του προσώπου που αφορούν τα δεδομένα, κατά 
την έννοια της οδηγίας 95/46/ΕΚ. 

Υπηρεσία προστιθέμενης αξίας: υπηρεσία μη τηλεπι¬ 
κοινωνιακή η οποία μπορεί να παρέχεται ή να υποστηρί¬ 
ζεται από δίκτυο διαδικτυακών επικοινωνιών. 

Πολιτική ασφάλειας: Το σύνολο τεχνικών, οργανωτικών 
και κανονιστικών μέτρων, τα οποία εφαρμόζονται από πά- 
ροχο διαδικτυακών επικοινωνιών και αποβλέπουν στη 
διασφάλιση του απορρήτου και γενικά στην ασφαλή λει¬ 
τουργία των δικτύων διαδικτυακών επικοινωνιών. 

ΚΕΦΑΛΑΙΟ II 

Πολιτική Ασφάλειας Παρόχου 
Άρθρο 3 

Περιεχόμενο Πολιτικής Ασφάλειας 

1. Πρωταρχικό στοιχείο για τη διασφάλιση του απορρή¬ 
του των επικοινωνιών στο Διαδίκτυο αποτελεί η ύπαρξη 
στους παρόχους πολιτικής ασφάλειας, η οποία αφορά 
στους χρήστες, στους χρήστες του παρόχου και στα συ¬ 
στήματα που εμπλέκονται στην επικοινωνία από και προς 
το Διαδίκτυο. 


2. Η πολιτική ασφάλειας παρόχου πρέπει να ανταποκρί- 
νεται στις ειδικές απαιτήσεις ασφάλειας του παρόχου και 
να καθορίζει την πολιτική πρόσβασης σε συστήματα και 
πληροφορίες, την πολιτική αποδεκτής χρήσης, τις ενέρ¬ 
γειες που ακολουθούνται για τη διατήρηση της ασφάλει¬ 
ας, και τα μέτρα που εφαρμόζονται σε περιπτώσεις πα¬ 
ραβίασης της ασφάλειας ή σε έκτακτα γεγονότα. 

3. Η πολιτική ασφάλειας διασφαλίζει τα δεδομένα επι¬ 
κοινωνίας των χρηστών και των χρηστών του παρόχου, το 
απόρρητο των επικοινωνιών, την προστασία των υπολογι¬ 
στικών συστημάτων και των δικτυακών υποδομών και την 
προστασία των διαδικτυακών εφαρμογών και υπηρεσιών. 

4. Ενδεικτικά, και όχι περιοριστικά, παρατίθενται τα βα¬ 
σικά βήματα που καλείται να ακολουθήσει ο πάροχος 
προκειμένου να ικανοποιήσει τις απαιτήσεις της πολιτι¬ 
κής ασφάλειας: 

(α) εξακρίβωση των στοιχείων που πρέπει να προστα¬ 
τευτούν, 

(β) προσδιορισμός των κινδύνων και απειλών για αυτά, 
(γ) προσδιορισμός του ρίσκου (πόσο πιθανό είναι να 
πραγματοποιηθούν οι απειλές), 

(δ) υλοποίηση μέτρων προστασίας των στοιχείων με 
κριτήριο το κόστος υλοποίησης και εφαρμογής, 

(ε) συνεχής αναθεώρηση και βελτίωση της πολιτικής 
ασφάλειας κάθε φορά που ανακαλυφθεί κάποιος κίνδυ¬ 
νος ή κάποια αδυναμία. 

5. Μια πολιτική ασφάλειας θεωρείται επαρκής όταν δια¬ 
θέτει τουλάχιστον τα ακόλουθα χαρακτηριστικά: 

(α) Θα πρέπει να είναι πλήρης και αποτελεσματική, 

(β) Θα πρέπει να μπορεί να υλοποιηθεί μέσω διαδικα¬ 
σιών διαχείρισης συστημάτων, δημοσιοποίησης οδηγιών 
αποδεκτής χρήσης ή άλλων αντίστοιχων κατάλληλων με¬ 
θόδων. Οι διαδικασίες οι οποίες σχετίζονται με την υλο¬ 
ποίηση της πολιτικής ασφάλειας περιλαμβάνουν τουλάχι¬ 
στον τη διαπίστωση ταυτότητας (όποτε είναι τεχνικά εφι¬ 
κτό), την εξουσιοδότηση, τον έλεγχο πρόσβασης, την 
εγκυρότητα, την εμπιστευτικότητα, την ακεραιότητα, τη 
διαθεσιμότητα, τηντήρησητου απορρήτου, και τον έλεγ¬ 
χο παραβίασης της ασφάλειας, 

(γ) Θα πρέπει να μπορεί να εφαρμοστεί μέσω εργαλεί¬ 
ων ασφάλειας, ή όταν αυτό δεν είναι εφικτό να καθορίζο¬ 
νται αυστηρές κυρώσεις με αποτρεπτικό χαρακτήρα, 

(δ) Θα πρέπει να ορίζει ξεκάθαρα τις περιοχές ευθύνης 
των χρηστών, των χρηστών του παρόχου και της διοίκη¬ 
σης του παρόχου. Επιπλέον οι μηχανισμοί μεταβολής της 
πολιτικής ασφάλειας πρέπει να είναι καλά ορισμένοι, πε¬ 
ριλαμβάνοντας τη διαδικασία, τους εμπλεκόμενους, κα¬ 
θώς και τους υπεύθυνους προς υπογραφή, 

(ε) Θα πρέπει να είναι ανεξάρτητη, στο μέτρο του δυνα¬ 
τού από τεχνικής απόψεως, από το συγκεκριμένο χρησι¬ 
μοποιούμενο εξοπλισμό (υλικό, λογισμικό), 

(στ) Θα πρέπει να είναι βασισμένη σε μια ανοικτή αρχι¬ 
τεκτονική έτσι ώστε να καθίσταται μακροπρόθεσμα βιώ¬ 
σιμη. 

6. Η φύση των επενδύσεων που γίνονται από τους πα¬ 
ρόχους για τη διατήρηση της ασφάλειας και της ακεραιό¬ 
τητας των δικτύων τους πρέπει να ακολουθεί την αρχή 
της αναλογικότητας, η οποία λαμβάνει υπόψη της το μέ¬ 
γεθος του παρόχου σε όρους υποδομής αριθμού χρη¬ 
στών και αριθμού χρηστών παρόχου. 
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7. Εφόσον ο πάροχος διαθέτει γενικότερη πολιτική 
ασφάλειας πληροφοριών και πληροφοριακών συστημά¬ 
των (π.χ. η γενικότερη πολιτική ασφάλειας μπορεί να 
αφορά πρόσβαση σε φυσικούς χώρους όπως κτίρια, δω¬ 
μάτια, κτλ στα οποία αποθηκεύονται στοιχεία συνδρομη¬ 
τών) τότε θα πρέπει να ενσωματώνει σε αυτήν τη γενικό¬ 
τερη πολιτική και την πολιτική ασφάλειας που αποτελεί 
αντικείμενο του παρόντος Κανονισμού. 

8. Η πολιτική ασφάλειας υπόκειται σε έλεγχο από την 
ΑΔΑΕ, τόσο ως προς την πληρότητα και αποτελεσματικό- 
τητά της, όσο και ως προς τον βαθμό εφαρμογής της. 

Άρθρο 4 

Περιεχόμενο Πολιτικής Πρόσβασης 

1. Η Πολιτική Πρόσβασης (αοοοεε ροΐίογ) καθορίζει το 
επίπεδο πρόσβασης χρηστών και χρηστών παρόχου, κα¬ 
θώς και εργαλείων λογισμικού εποπτείας σε καθένα από 
τα συστήματα υλικού και λογισμικού από τα οποία αποτε- 
λείται ο εξοπλισμός του παρόχου. 

2. Η Πολιτική Πρόσβασης αποτελεί αναπόσπαστο τμή¬ 
μα της Πολιτικής Ασφάλειας. 

3. Ο πάροχος οφείλει να διαθέτει και να εφαρμόζει Πο¬ 
λιτική Πρόσβασης για τα συστήματα τα οποία αναφέρο- 
νται σε εξωτερικές συνδέσεις, επικοινωνίες δεδομένων, 
τηλεπικοινωνιακές συσκευές και προγράμματα λογισμι¬ 
κού. 

4. Η Πολιτική Πρόσβασης περιγράφει για κάθε σύστη¬ 
μα, με τρόπο λεπτομερή και σαφή, τουλάχιστον τις ακό¬ 
λουθες διαδικασίες: 

(α) Διαδικασίες προσθήκης νέων χρηστών και χρηστών 
παρόχου στο εν λόγω σύστημα. 

(β) Διαδικασίες εξουσιοδότησης (αυΙΙιοΝζαΙίοη) σχετικά 
με την προσθήκη, διαγραφή και αλλαγή των επιπέδων 
πρόσβασης των χρηστών και χρηστών παρόχου σε αρ¬ 
χεία, διαδικασίες λογισμικού και πληροφορίες του εν λό¬ 
γω συστήματος. 

(γ) Διαδικασίες ταυτοποίησης (αυΐάθπΐίοαίίοπ) χρηστών 
και χρηστών παρόχου. 

(δ) Διαδικασίες ελέγχου των παραπάνω διαδικασιών και 
διαχείρισης του επιπέδου πρόσβασης που παραχωρείται 
στους χρήστες και χρήστες παρόχου. 

(ε) Διαδικασίες πρόσβασης χρηστών και χρηστών πα¬ 
ρόχου σε συστήματα που διατηρούν δεδομένα επικοινω¬ 
νίας χρηστών. 

(στ) Σε περίπτωση που χρησιμοποιείται κρυπτογράφη¬ 
ση, η Πολιτική Πρόσβασης θα πρέπει να περιέχει τις δια¬ 
δικασίες πρόσβασης χρηστών και χρηστών παρόχου σε 
συστήματα κρυπτογράφησης / αποκρυπτογράφησης κα¬ 
θώς και σε διαδικασίες σχετικά με την διαχείριση, διανο¬ 
μή, εισαγωγή και αρχειοθέτηση των κλειδιών κρυπτογρά¬ 
φησης. Οι πληροφορίες αυτές θα αναφέρονται σε καταλ¬ 
λήλως διαβαθμισμένο παράρτημα των εγγράφων που 
περιέχουν την Πολιτική Πρόσβασης. 

5. Ειδικότερα, αναφορικά με τη διασφάλιση του απορ¬ 
ρήτου των επικοινωνιών: 

(α) Ο πάροχος οφείλει να ορίζει τουλάχιστον έναν Υπεύ¬ 
θυνο Πρόσβασης, ο οποίος καθορίζει το είδος της πρό¬ 
σβασης των χρηστών και των χρηστών παρόχου στα συ¬ 
στήματα. 

(β) Ο πάροχος οφείλει να ορίζει τουλάχιστον έναν Υπεύ¬ 
θυνο Συστήματος, ο οποίος υλοποιεί τις αποφάσεις του 
Υπευθύνου Πρόσβασης. 


(γ) Ο πάροχος οφείλει να ορίζει τουλάχιστον έναν Υπεύ¬ 
θυνο Αντιγράφων Ασφάλειας, ο οποίος καθορίζει ποιος 
έχει πρόσβαση στα αντίγραφα ασφάλειας καθώς και κά¬ 
θε πότε θα λαμβάνονται αντίγραφα ασφάλειας και για 
ποια δεδομένα, πάντα σε συνεννόηση με τον Υπεύθυνο 
Πρόσβασης. 

Άρθρο 5 

Περιεχόμενο Πολιτικής Αποδεκτής Χρήσης 

1. Η Πολιτική Αποδεκτής Χρήσης (ΑοοορΙαόΙθ ογ ΑρρίΌ- 
ρπαΐθ ϋεθ ΡοΙίογ) περιγράφει τις επιτρεπόμενες και μη 
επιτρεπόμενες χρήσεις και δραστηριότητεςτωνχρηστών 
και των χρηστών παρόχου των υπολογιστικών και τηλεπι¬ 
κοινωνιακών συστημάτων ενός παρόχου. 

2. Η Πολιτική Αποδεκτής Χρήσης αποτελεί αναπόσπα¬ 
στο τμήμα της Πολιτικής Ασφάλειας. 

3. Σκοπός της είναι να διασφαλίσει ότι οι χρήστες και οι 
χρήστες παρόχου δεν θα εκμεταλλευτούν την πρόσβαση 
που τους παρέχεται σύμφωνα με την Πολιτική Πρόσβα¬ 
σης (Αοοθ 55 ΡοΙίογ) σε υπολογιστές, εφαρμογές και πα¬ 
ντός είδους τηλεπικοινωνιακά δίκτυα προκειμένου να 
προβούν σε ενέργειες που παραβιάζουν οποιονδήποτε 
νόμο του κράτους. 

4. Η Πολιτική Αποδεκτής Χρήσης πρέπει να είναι προ¬ 
σαρμοσμένη στην κατηγορία χρηστών στην οποία απευ¬ 
θύνεται και να είναι σύμφωνη με την Πολιτική Πρόσβασης 
για κάθε κατηγορία χρηστών. Ο πάροχος οφείλει να λαμ¬ 
βάνει υπόψιν κατηγορίες χρηστών όπως χρήστες, χρή¬ 
στες παρόχου, εργαζόμενοι σε άλλη εταιρεία με την 
οποία ο πάροχος συνεργάζεται κτλ. 

5. Η Πολιτική Αποδεκτής Χρήσης οφείλει να περιλαμβά¬ 
νει, με όσο το δυνατόν πιο λεπτομερή και κατανοητό τρό¬ 
πο ώστε να αποφεύγονται οι παρερμηνείες, το ακόλουθο 
ελάχιστο περιεχόμενο: 

(α) Δικαιώματα Χρήστη (ανά κατηγορία χρήστη). Σε αυ¬ 
τήν την ενότητα περιλαμβάνονται μεταξύ άλλων συγκε¬ 
κριμένα παραδείγματα αποδεκτής χρήσης των συστημά¬ 
των στα οποία παρέχεται πρόσβαση βάσει της Πολιτικής 
Πρόσβασης. 

(β) Υποχρεώσεις Χρήστη (ανά κατηγορία χρήστη). Σε 
αυτή την ενότητα περιλαμβάνονται μεταξύ άλλων συγκε¬ 
κριμένα παραδείγματα μη αποδεκτής χρήσης των συστη¬ 
μάτων στα οποία παρέχεται πρόσβαση βάσει της Πολιτι¬ 
κής Πρόσβασης, καθώς και συνέπειες μη συμμόρφωσης 
με αυτές τις υποχρεώσεις. 

(γ) Δικαιώματα του παρόχου. 

(δ) Υποχρεώσεις του παρόχου. 

6. Επιπλέον στην ενότητα που αναφέρεται στις υποχρε¬ 
ώσεις των χρηστών, η Πολιτική Αποδεκτής Χρήσης οφεί¬ 
λει να περιλαμβάνει τις παρακάτω διατάξεις οι οποίες 
σχετίζονται με την ασφάλεια του συστήματος: 

(α) Οι χρήστες και οι χρήστες παρόχου οφείλουν να 
λαμβάνουν όλα τα ενδεικνυόμενα μέτρα για την διασφά¬ 
λιση του απορρήτου επικοινωνιών τους, όπως απόκρυψη 
των μυστικών κωδικών τους (π.χ. ραδεννοΓάε), κλείδωμα 
του ηλεκτρονικού υπολογιστή όταν απομακρύνονται κτλ. 

(β) Οι χρήστες και οι χρήστες παρόχου οφείλουν να ενη¬ 
μερώνουν αμέσως τους υπευθύνους του παρόχου αν 
υποπέσει στην αντίληψή τους οποιοδήποτε κενό ασφά¬ 
λειας συστήματος που θέτει σε κίνδυνο το απόρρητο επι¬ 
κοινωνιών των ίδιων ή άλλων χρηστών και χρηστών παρό¬ 
χου. 
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(γ) Οι χρήστες και οι χρήστες παρόχου οφείλουν να 
αποκτούν πρόσβαση αποκλειστικά και μόνο σε δεδομένα 
επικοινωνίας τα οποία αναφέρονται στους ίδιους ή είναι 
δημοσίως ανακοινώσιμα σύμφωνα με τους κανόνες χειρι¬ 
σμού δεδομένων επικοινωνίας ή γιατα οποία τους έχει δο¬ 
θεί πρόσβαση σύμφωνα με την Πολιτική Πρόσβασης. 

(δ) Οι χρήστες και οι χρήστες παρόχου απαγορεύεται 
να επιχειρούν να εκμεταλλευτούν πιθανά κενά ασφάλειας 
των συστημάτων του παρόχου προκειμένου να αποκτή¬ 
σουν πρόσβαση σε πληροφορίες άλλων χρηστών και χρη- 
στώνπαρόχου, να διαταράξουντην ομαλή λειτουργίατων 
δικτύων, να εκτελέσουν κακόβουλο λογισμικό και γενικά 
να υποβαθμίσουν το επίπεδο ασφάλειας του συστήμα¬ 
τος. 

7. Ειδικά σε σχέση με το τηλεπικοινωνιακό απόρρητο, ο 
πάροχος οφείλει να συμμορφώνεται με τις διατάξεις του 
Κεφαλαίου III του παρόντος Κανονισμού. 

8.0 πάροχος οφείλει να δίνει στο χρήστη (ή στο χρήστη 
παρόχου) πρόσβαση στα συστήματά του μόνο εφόσον ο 
χρήστης (ή ο χρήστης παρόχου αντίστοιχα) έχει λάβει 
γνώση και ακολούθως έχει αποδεχθεί την Πολιτική Απο¬ 
δεκτής Χρήσης. Το γεγονός αυτό αποδεικνύεται είτε με 
έγγραφη δήλωση του χρήστη (ή του χρήστη παρόχου 
αντίστοιχα) η οποία φέρει την πρωτότυπη υπογραφή του 
ή εφόσον ο χρήστης (ή του χρήστη παρόχου αντίστοιχα) 
έχει συμπληρώσει το αντίστοιχο πεδίο σε σχετική φόρμα 
αποδοχής στην περίπτωση που η Πολιτική Αποδεκτής 
Χρήσης παρουσιάζεται ηλεκτρονικά. 

9. Ειδικά οι χρήστες παρόχου: 

(α) Οφείλουν να συμμορφώνονται με τις διατάξεις των 
κεφαλαίων II και III του παρόντος σχετικά με την ακρόαση, 
υποκλοπή, παρακολούθηση, αποθήκευση, επεξεργασία, 
εξαγωγή, διαβίβαση, ανακοίνωση και δημοσιοποίηση δε¬ 
δομένων επικοινωνίας, έτσι ώστε να διασφαλίζεται το 
απόρρητο επικοινωνιών των χρηστών. 

(β) Οφείλουν να ακολουθούν τις διαδικασίες δημιουρ¬ 
γίας αντιγράφων ασφάλειας δεδομένων σύμφωνα με την 
Πολιτική Πρόσβασης. 

ΚΕΦΑΛΑΙΟ III 
Απόρρητο - Προστασία 
Επεξεργασίας Δεδομένων Επικοινωνίας 

Άρθρο 6 
Απόρρητο 

1. Το απόρρητο των επικοινωνιών οι οποίες διενεργού- 
νται μέσω δημόσιων δικτύων επικοινωνιών κατοχυρώνε¬ 
ται μέσω της εθνικής και ευρωπαϊκής νομοθεσίας. Οι επι¬ 
κοινωνίες αυτές καλύπτουν τις πληροφορίες και τα δεδο¬ 
μένα τα οποία διακινούνται πάνω από δημόσια δίκτυα 
επικοινωνιών και εξυπηρετούνται από τις αντίστοιχες 
υπηρεσίες επικοινωνιών. Συγκεκριμένα, απαγορεύεται η 
ακρόαση, υποκλοπή, αποθήκευση ή άλλο είδος παρακο¬ 
λούθησης ή επιτήρησης των επικοινωνιών και των πληρο¬ 
φοριών και δεδομένων από πρόσωπα πληντων χρηστών, 
χωρίς τη συγκατάθεση των ενδιαφερομένων χρηστών, 
εκτός αν υπάρχει σχετική νόμιμη άδεια. 

2. Η παράγραφος 1 δεν επηρεάζει οποιαδήποτε επιτρε¬ 
πόμενη από το νόμο καταγραφή συνδιαλέξεων και των 
συναφών δεδομένων κίνησης ή/και θέσης όταν πραγμα¬ 
τοποιούνται κατά τη διάρκεια νόμιμης επαγγελματικής 
πρακτικής, όπως για παράδειγμα αποτελεί η παροχή απο¬ 
δεικτικών στοιχείων μιας εμπορικής συναλλαγής. 


3. Η χρήση των δικτύων επικοινωνιών για την αποθή¬ 
κευση πληροφοριών ή την απόκτηση πρόσβασης σε πλη¬ 
ροφορίες αποθηκευμένες τόσο στον τερματικό εξοπλι¬ 
σμό χρήστη όσο και στον εξοπλισμό που χρησιμοποιείται 
για την εξυπηρέτηση της επικοινωνίας επιτρέπεται μόνον 
εάν παρέχονται στο χρήστη σαφείς πληροφορίες για το 
σκοπό της επεξεργασίας, και πάντα με την συγκατάθεση 
αυτού. Αυτό βέβαια δεν ισχύει στην περίπτωση που οι 
ενέργειες αυτές γίνονται για την εξυπηρέτηση της υπη¬ 
ρεσίας που έχει ρητά ζητήσει ο χρήστης. 

4. Τα συστήματα για την παροχή ηλεκτρονικών επικοι- 
νωνιακών δικτύων και υπηρεσιών θα πρέπει να σχεδιάζο¬ 
νται έτσι ώστε να περιορίζουν την ποσότητα των απαιτού- 
μενων δεδομένων επικοινωνίας στο ελάχιστο δυνατό. 
Όσες δραστηριότητες σχετικές με την παροχή υπηρε¬ 
σίας ηλεκτρονικών επικοινωνιών υπερβαίνουν τη μετάδο¬ 
ση μιας επικοινωνίας και τη χρέωσή της θα πρέπει να βα¬ 
σίζονται σε ομαδοποιημένα δεδομένα κυκλοφορίας, που 
να μην μπορούν να συσχετίζονται με χρήστες. Όταν αυτό 
δεν είναι δυνατό, θα πρέπει να θεωρούνται ως υπηρεσίες 
προστιθέμενης αξίας, για τις οποίες απαιτείται η συγκα¬ 
τάθεση του χρήστη. 

5. Οι πάροχοι θα πρέπει να ενημερώνουν τους χρήστες 
σχετικά με τα μέτρα προστασίας που μπορούν να λαμβά¬ 
νουν για τη διασφάλιση του απορρήτου των επικοινωνιών 
και των δεδομένων επικοινωνίας τους, για παράδειγμα τη 
χρήση συγκεκριμένου τύπου λογισμικού ή τεχνολογιών 
κρυπτογράφησης. 

6. Για τη συλλογή των πληροφοριών από τους χρήστες, 
θα πρέπει να ισχύει η αρχή της διαφάνειας. Ο πάροχος 
οφείλει να ενημερώνει τους χρήστες χρησιμοποιώντας 
κάθε πρόσφορο μέσο αναφορικά με το σκοπό συλλογής 
των πληροφοριών καθώς και με τους πιθανούς τρόπους 
επεξεργασίας ή χρήσης τους. Ως εκ τούτου, ο πάροχος 
οφείλει να προτιμά τους άμεσους τρόπους συλλογής 
πληροφοριών όπως π.χ. η χρήση ηλεκτρονικών φορμών. 
Επιπλέον ο πάροχος οφείλει να ενημερώνει τους χρήστες 
και να εξασφαλίζει τη συγκατάθεσή τους αναφορικά με 
τις περιπτώσεις που για διάφορους λόγους (ενδεικτικά 
αναφέρονται λόγοι λειτουργικότητας των διαδικτυακών 
εφαρμογών) πρέπει να λάβει χώρα έμμεση συλλογή πλη¬ 
ροφορίας (π.χ. μέσω οοοΚίθε). 

7. Ο πάροχος οφείλει να ενημερώνει τους χρήστες για 
τα δεδομένα επικοινωνίας τα οποία πιθανόν αποθηκεύο¬ 
νται σε αντίγραφα ασφάλειας και τα οποία είναι ανακτή- 
σιμα ακόμα και μετά τη διαγραφή τους από το χρήστη. Ο 
πάροχος οφείλει να κοινοποιεί στους χρήστες το μέγιστο 
χρονικό διάστημα για το οποίο τα δεδομένα επικοινωνίας 
είναι αποθηκευμένα στα αντίγραφα ασφάλειας. 

8. Από τις διατάξεις του παρόντος άρθρου εξαιρείται η 
τεχνική αποθήκευση ή αντιγραφή της πληροφορίας, η 
οποία είναι απολύτως αναγκαία για τη διαβίβαση επικοι¬ 
νωνίας και την εξυπηρέτηση των υπηρεσιών επικοινω¬ 
νιών. Ενδεικτικά, και όχι περιοριστικά, αναφέρονται εδώ 
πληροφορίες σε σχέση με την ταυτότητα των χρηστών οι 
οποίες είναι απαραίτητες για τη δρομολόγηση ή τη χρέω- 
ση της κλήσης, η αποθήκευση διευθύνσεων ΙΡ σε προσω¬ 
ρινή (οεοΐΐθ) μνήμη μέσα στο σύστημα ονοματοθεσίας 
τομέων (ϋΝ3), η αποθήκευση της αντιστοίχισης διευθύν¬ 
σεων ΙΡ σε υλικές διευθύνσεις (ΜΑΟ αάάΓθδδθε) καιη χρή¬ 
ση των παρεχόμενων κατά τη σύνδεση (Ιορ-ίη) πληροφο¬ 
ριών για τον έλεγχο του δικαιώματος πρόσβασης σε δί¬ 
κτυα ή υπηρεσίες. 
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9. Από τις διατάξεις του παρόντος άρθρου εξαιρείται η 
τεχνική αποθήκευση ή αντιγραφή ή επεξεργασία της πλη¬ 
ροφορίας για σκοπούς διερεύνησης αξιόποινων πράξεων 
και για σκοπούς προστασίας της εθνικής ασφάλειας και 
της δημοσίας τάξεως όπως κάθε φορά ορίζεται από την 
κείμενη νομοθεσία. 

Άρθρο 7 

Προστασία επεξεργασίας των δεδομένων επικοινωνίας 

1. Οι πάροχοι οφείλουν να λαμβάνουν υπόψη και να 
εφαρμόζουν στο τμήμα της πολιτικής τους τις διατάξεις 
της κείμενης νομοθεσίας για την προστασία της επεξερ¬ 
γασίας των δεδομένων επικοινωνίας. 

Άρθρο 8 

Προστασία Επεξεργασίας Αρχείων 

1. Σε περιπτώσεις παραβίασης των διατάξεων προστα¬ 
σίας του απορρήτου των επικοινωνιών, οι οποίες περι¬ 
λαμβάνουν και επεξεργασία αρχείων αρμοδιότητας της 
Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, 
η ΑΔΑΕ θα ενημερώνει την εν λόγω Αρχή σχετικά, προ- 
κειμένου να επιλαμβάνεται στο πλαίσιο των δικών της αρ¬ 
μοδιοτήτων. 

ΚΕΦΑΛΑΙΟ IV - 

Υποχρεώσεις Παροχών - Έλεγχος και Εποπτεία 

Άρθρο 9 

Υποχρεώσεις Παροχών αναφορικά 
με την Πολιτική Ασφάλειας 

1. Όλοι οι πάροχοι υποχρεούνται: 

(α) Να διαθέτουν ανά πάσα στιγμή καθορισμένη Πολιτι¬ 
κή Ασφάλειας για τη διασφάλιση του απορρήτου διαδι¬ 
κτυακών επικοινωνιών. 

(β) Να εφαρμόζουν την εν λόγω πολιτική. 

2. Η Πολιτική Ασφάλειας περιέχει όλα όσα καθορίζονται 
στον παρόντα Κανονισμό, καθώς επίσης και στον «Κανο¬ 
νισμό για τη Διασφάλιση του Απορρήτου Εφαρμογών και 
Χρήστη Διαδικτύου» και στον «Κανονισμό για τη Διασφά¬ 
λιση του Απορρήτου Διαδικτυακών Υποδομών». 

3. Ο πάροχος οφείλει να προβλέπει στο οργανόγραμμά 
του διοικητική οντότητα η οποία θα είναι επιφορτισμένη 
με την κατάρτιση και την εφαρμογή της Πολιτικής Ασφά¬ 
λειας με επικεφαλής κατάλληλα καταρτισμένο στέλεχος 
του παρόχου που θα φέρει τον τίτλο του Υπευθύνου 
Ασφάλειας. 

4. Οι πάροχοι οφείλουν να προβαίνουν σε τακτικές επι¬ 
σκοπήσεις και αναθεωρήσεις της πολιτικής ασφάλειας, 
είτε αυτόβουλα (μετά από έγκριση της ΑΔΑΕ σε περίπτω¬ 
ση αναθεώρησης) είτε ύστερα από σχετική εντολή της 
ΑΔΑΕ όπως μπορεί να προκύψει από πιθανή διαδικασία 
ελέγχου ή έκδοση σχετικής οδηγίας. 

5. Σε περίπτωση παραβίασης (ή ιδιαίτερου κινδύνου πα¬ 
ραβίασης) της πολιτικής ασφάλειας, ιδιαίτερα στην περί¬ 
πτωση που δεν είναι δυνατό να αντιμετωπιστεί με τα 
υπάρχοντα μέσα του παρόχου, ο πάροχος οφείλει να ενη¬ 
μερώνει άμεσα τους χρήστες και τους χρήστες παρόχου 
σχετικά με τους υφιστάμενους κινδύνους ασφάλειας και 
τις συνέπειες αυτών (συμπεριλαμβανομένου του πιθανού 
κόστους) και, εάν είναι εφικτό, να παρέχει στοιχεία για την 
αποτροπή ή αντιμετώπισή τους. Σε κάθε τέτοια περίπτω¬ 
ση οφείλει να ενημερώνει άμεσα την ΑΔΑΕ. 


6. Οι πάροχοι οφείλουν να ενημερώνουν τους χρήστες 
και τους χρήστες παρόχου για την ύπαρξη και τον τρόπο 
χρήσης πόρων σχετικών με την ασφάλεια των μεταδιδό¬ 
μενων πληροφοριών (π.χ. δθουτθ δάθΙΙ Βθιλ/θγ, δδΗ) 

7. Ο πάροχος οφείλει να ορίζει συνέπειες προς τους 
χρήστες και τους χρήστες παρόχου σε περίπτωση μη 
συμμόρφωσής τους με τα προβλεπόμενα από την Πολιτι¬ 
κή Ασφάλειας (συμπεριλαμβανομένων των Πολιτικών 
Πρόσβασης και Αποδεκτής χρήσης) 

Άρθρο 10 

Διαδικασία Ελέγχου από την ΑΔΑΕ 

1. Η ΑΔΑΕ σε τακτά χρονικά διαστήματα διενεργεί έλεγ¬ 
χο σε κάθε πάροχο που εμπίπτει στις διατάξεις του παρό¬ 
ντος. Η συχνότητα των ελέγχων θα καθοριστεί από την 
ΑΔΑΕ με μεταγενέστερη απόφασή της. 

2. Η διαδικασία ελέγχου διενεργείται από τις αρμόδιες 
υπηρεσίες της ΑΔΑΕ ή από ειδικούς που τελούν υπό την 
άμεση επίβλεψη της ΑΔΑΕ με βάση τα βήματα που περι- 
γράφονται στο Παράρτημα Ατού παρόντος Κανονισμού. 

3. Κατά τη διάρκεια του ελέγχου, η ομάδα ελέγχου της 
ΑΔΑΕ καταγράφει αναλυτικά τις ενέργειες στις οποίες 
προβαίνει σε ειδικό έντυπο με τίτλο «Έκθεση Διενέργειας 
Ελέγχου σε Πάροχο Διαδικτυακών Επικοινωνιών αναφο¬ 
ρικά με την Πολιτική Ασφάλειας και τη Διασφάλιση του 
Απορρήτου». Τα ελάχιστα απαραίτητα στοιχεία του εν λό¬ 
γω εντύπου παρατίθενται στο Παράρτημα Β του παρό¬ 
ντος Κανονισμού. 

4. Η ομάδα ελέγχου κοινοποιεί το πόρισμα της στην 
Ολομέλεια της ΑΔΑΕ. Η Ολομέλεια της ΑΔΑΕ αξιολογεί 
τα ευρήματα του ελέγχου και είτε εγκρίνει τις ενέργειες 
που προβλέπονται στην εκάστοτε πολιτική ασφάλειας 
του παρόχου που έχει εγκριθεί από την ΑΔΑΕ είτε επιβάλ¬ 
λει κυρώσεις εφόσον δεν έχουν ληφθεί τα προσήκοντα 
μέτρα. 

5. Ως προς τη διαδικασία και τις κυρώσεις της παραγρ. 
4 ισχύουν οι διατάξεις του Ν.3115/2003 άρθρο 11 και 6 
παρ. 4, καθώς και τα προβλεπόμενα στον εσωτερικό κα¬ 
νονισμό της ΑΔΑΕ (ΦΕΚ 1642/Β/7-11 -2003). 

Άρθρο 11 

Άσκηση Εποπτείας 

1. Κάθε πάροχος στο τέλος του ημερολογιακού έτους 
υποβάλλει στην ΑΔΑΕ ετήσια έκθεση με στοιχεία που 
αφορούν στην ασφάλεια των διαδικτυακών επικοινωνιών 
και τη διασφάλιση του απορρήτου. 

2. Το ελάχιστο περιεχόμενο της ετήσιας έκθεσης ορίζε¬ 
ται ως εξής: 

(α) Περιστατικά που απείλησαν την ασφάλεια του πα¬ 
ρόχου καιτη διασφάλιση του απορρήτου καθώς και τυχόν 
βλάβες που υπέστη ο πάροχος, οι χρήστες του και οι χρή¬ 
στες παρόχου εξαιτίας αυτών. 

(β) Μέτρα που ελήφθησαν για την αντιμετώπιση των ως 
άνω περιστατικών. 

3. Η ΑΔΑΕ με Απόφασή της δύναται να μεταβάλλει το 
ελάχιστο περιεχόμενο της ετήσιας έκθεσης. 

4. Η ΑΔΑΕ δύναται να ζητήσει εκτάκτως από τους πά- 
ροχους οποιεσδήποτε πληροφορίες θεωρεί αναγκαίες 
στα πλαίσια των αρμοδιοτήτων της για την ασφάλεια των 
διαδικτυακών επικοινωνιών και τη διασφάλιση του απορ¬ 
ρήτου. 
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ΚΕΦΑΛΑΙΟ V - ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ 
Άρθρο 12 

Μεταβατικές Διατάξεις 

1. Όλοι οι πάροχοι υποχρεούνται: 

(α) Να ενημερώσουν ως προς την εφαρμοζόμενη πολι¬ 
τική ασφάλειας την ΑΔΑΕ εντός έξι (6) μηνών από τη δη¬ 
μοσίευση του παρόντος. 

(β) Να εφαρμόζουν την εγκριθείσα από την ΑΔΑΕ πολι¬ 
τική ασφάλειας εντός ενός (1) έτους από την έγκρισή της. 

ΚΕΦΑΛΑΙΟ VI - ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ 

Άρθρο 13 
Έναρξη Ισχύος 

1. Ο παρών Κανονισμός τίθεται σε ισχύ από την ημερο¬ 
μηνία δημοσίευσής του στην Εφημερίδα της Κυβερνήσε- 
ως. 


ΠΑΡΑΡΤΗΜΑ Α 

Αναλυτική περιγραφή διαδικασίας ελέγχου παρόχου 
Η διαδικασία ελέγχου παρόχου διενεργείται με βάση τα 
ακόλουθα βήματα: 

(α) Η ΑΔΑΕ με Απόφασή της ορίζει ομάδα ελέγχου που 
αποτελείται από τρία (3) τουλάχιστον άτομα με σκοπό τον 
έλεγχο συγκεκριμένου παρόχου. Η ελάχιστη στελέχωση 
της ομάδας ελέγχου περιλαμβάνει έναν (1) υπεύθυνο της 
ομάδας, ένα (1) νομικό σύμβουλο και έναν (1) τεχνικό 
σύμβουλο. 

(β) Σε χρόνο που αποφασίζει η ομάδα ελέγχου, επικοι¬ 
νωνεί με τον πάροχο και ζητεί να έρθει σε άμεση επικοι¬ 
νωνία με τον υπεύθυνο ασφάλειας όπως αυτός ορίζεται 
στο Άρθρο 6 του παρόντος. Τυχόν καθυστέρηση ή κώλυ¬ 
μα που παρουσιάζεται κατά την προσπάθεια επικοινωνίας 
με τον υπεύθυνο ασφάλειας καταγράφεται και φέρει τις 
ανάλογες κυρώσεις. 

(γ) Ο υπεύθυνος ασφάλειας παραδίδει στην ομάδα 
ελέγχου πλήρες αντίγραφο της πολιτικής ασφάλειας (συ- 
μπεριλαμβανομένης της πολιτικής πρόσβασης και της 
πολιτικής αποδεκτής χρήσης) και των τυχών συνοδευτι¬ 
κών εγγράφων. Από τα παραδιδόμενα έγγραφα θα πρέ¬ 
πει να προκύπτουν οι ημερομηνίες έκδοσης και έγκρισης 
των συγκεκριμένων πολιτικών. Τυχόν καθυστέρηση επί¬ 
δοσης σημειώνεται και φέρει τις ανάλογες κυρώσεις. 

(δ) Η ομάδα ελέγχου προβαίνει σε αναλυτική εξέταση 
όλων των σχετικών εγγράφων και καταγράφονται οι τυ¬ 
χόν ελλείψεις που παρουσιάζονται στην πολιτική ασφά¬ 
λειας του παρόχου. Κατά την διαδικασία αυτή δύναται να 
ζητηθεί η συνδρομή του παρόχου έτσι ώστε να διασαφη¬ 
νιστούν τυχόν ασάφειες και προβλήματα που παρουσιά¬ 
ζονται στην πολιτική ασφάλειας. 

(ε) Κατά τη διάρκειατου ελέγχου ο πάροχος δεν έχειτην 
δυνατότητα να αντικαταστήσει την πολιτική ασφάλειας 
με νέα ούτε να προβεί σε τυχόν διορθώσεις αυτής. 

(στ) Τ υχόν ασάφειες στην Πολιτική Ασφάλειας θεωρού¬ 
νται ως σφάλματα, μιας και η πολιτική αυτή θα πρέπει να 
έχει διατυπωθεί κατά τρόπο σαφή. 

(ζ) Η ομάδα ελέγχου προβαίνει σε αυτοψία των εγκατα¬ 
στάσεων του παρόχου για να διαπιστώσει σε ποιο βαθμό 
εφαρμόζονται οι διαδικασίες που προβλέπονται από τα 
προσκομιθέντα έγγραφα. Η αυτοψία δύναται να περιλαμ¬ 


βάνει και επαφή με το προσωπικό του παρόχου. Η ομάδα 
ελέγχου καταγράφει αναλυτικά τις ελλείψεις και τα σφάλ¬ 
ματα που τυχόν διαπιστωθούν. 

(η) Ο πάροχος οφείλει να υποβάλει στην ομάδα ελέγχου 
οποιοδήποτε στοιχείο θεωρηθεί απαραίτητο από την 
ομάδα για την επιτυχή ολοκλήρωση του ελέγχου. 

(θ) Τυχόν διαπίστωση έλλειψης συνεργασίας από τον 
πάροχο ή/και προσπάθειας παραπλάνησης της ομάδας 
ελέγχου καταγράφεται και φέρει τις ανάλογες κυρώσεις. 


ΠΑΡΑΡΤΗΜΑ Β 

Ελάχιστο περιεχόμενο του εντύπου με τίτλο 
«Έκθεση Διενέργειας Ελέγχου σε Πάροχο Διαδικτυα¬ 
κών Επικοινωνιών αναφορικά με την Πολιτική Ασφάλειας 
και τη Διασφάλιση του Απορρήτου» 

Το ως άνω έντυπο θα περιέχει απαραιτήτως τουλάχι¬ 
στον τα ακόλουθα στοιχεία: 

(α) Τα στοιχεία της Απόφασης της ΑΔΑΕ με την οποία 
αποφασίστηκε ο έλεγχος. 

(β) Τα ονοματεπώνυμα και τις ιδιότητες των στελεχών 
της ΑΔΑΕ που απαρτίζουν την ομάδα ελέγχου καθώς και 
την ημερομηνία σύστασής της. 

(γ) Το όνομα του υπό έλεγχο παρόχου καθώς και το όνο¬ 
μα του υπευθύνου ασφάλειάς του. 

(δ) Το χρόνο που απαιτήθηκε έως ότου να αποδοθεί 
στην ομάδα ελέγχου η πλήρης Πολιτική Ασφάλειας του 
παρόχου. 

(ε) Ημερολόγιο ενεργειών και ερωτήσεων της ομάδας 
ελέγχου και καταγραφή της ανταπόκρισης του ελεγχόμε¬ 
νου παρόχου. 

(στ) Το αποτέλεσμα της αυτοψίας για την αποτίμηση 
της εφαρμογής της Πολιτικής Ασφάλειας με καταγραφή 
τυχόν ελλείψεων και ασαφειών. 

(ζ) Τις ημερομηνίες έναρξης και περάτωσης του ελέγ¬ 
χου. 

(η) Το τελικό πόρισμα του ελέγχου και την εισήγηση 
προς την Ολομέλεια της ΑΔΑΕ. 

Ο παρών Κανονισμός να δημοσιευθεί στην Εφημερίδα 
της Κυβερνήσεως. 

Αθήνα,14 Ιανουάριου 2005 
Ο Πρόεδρος 

ΑΝΔΡΕΑΣ ΛΑΜΠΡΙΝΟΠΟΥΛΟΣ 

-♦- 

Αριθ. 633 α (2) 

Κανονισμός για τη Διασφάλιση του Απορρήτου 
Διαδικτυακών Υποδομών. 

Η ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ 
ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΕΑ) 

Έχοντας υπόψη: 

α. Το Ν. 3115/27.2.2003, άρθρο Ι,παραγρ. 1, 
β. Το Ν. 3115/27.2.2003, άρθρο 6, παραγρ. 1, 
γ. Ότι εκ της αποφάσεως δεν προκύπτει δαπάνη για το 
δημόσιο 

δ. Τη σχετική εισήγηση της Υπηρεσίας, αποφάσισε 
Κατά τη συνεδρίασή της την 10η Νοεμβρίου 2004 , την 
έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση 
του Απορρήτου Διαδικτυακών Υποδομών. 
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ΚΕΦΑΛΑΙΟ I 
ΣΚΟΠΟΣ-ΟΡΙΣΜΟΙ 

Άρθρο 1 

Σκοπός - Πεδίο Εφαρμογής 

1. Σκοπός του παρόντος Κανονισμού είναι: 

(α) Η ασφάλεια των Διαδικτυακών υποδομώντωνπαρό- 
χων και η διασφάλιση του απορρήτου αυτών. 

(β) Η θέσπιση των υποχρεώσεων των εν λόγω παροχών 
αναφορικά με την ασφάλεια και το απόρρητο των Διαδι¬ 
κτυακών τους υποδομών. 

(γ) Ο έλεγχος στους εν λόγω παρόχους σχετικά με τις 
ανωτέρω αναφερόμενες υποχρεώσεις τους. 

2. Στις διατάξεις του παρόντος Κανονισμού εμπίπτουν 
όλοι οι Τηλεπικοινωνιακοί Πάροχοι Διαδικτύου και οι Δη¬ 
μόσιοι Οργανισμοί και ιδιαίτερα: 

(α) Πάροχοι σταθερής και κινητής πρόσβασης στο Δια¬ 
δίκτυο, 

(β) Πάροχοι Διαδικτυακών υπηρεσιών, υπηρεσιών προ¬ 
στιθέμενης αξίας και υπηρεσιών εφαρμογών. 

3. Ο παρών Κανονισμός συμπληρώνει τον «Κανονισμό 
για τη Διασφάλιση του Απορρήτου στις Διαδικτυακάς Επι¬ 
κοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές» κα¬ 
θώς και τον «Κανονισμό για τη Διασφάλιση του Απορρή¬ 
του Εφαρμογών και Χρήστη Διαδικτύου» που προηγήθη- 
καν. 

Άρθρο 2 

Ορισμοί 

Γιατην εφαρμογή του παρόντος Κανονισμού ισχύουν οι 
ορισμοί των προαναφερθέντων Κανονισμών της ΑΔΑΕ, 
που επαναλαμβάνονται εδώ για λόγους πληρότητας. Επι¬ 
πρόσθετα, οι ακόλουθοι όροι έχουν την έννοια που τους 
αποδίδεται κατωτέρω: 

Αντίγραφα ασφαλείας - Τα εφεδρικά αντίγραφα που 
προκύπτουν μετά την εφαρμογή των κατάλληλων μεθό¬ 
δων αντιγραφής και σχετίζονται με τα δεδομένα διάρ¬ 
θρωσης των δικτυακών στοιχείων. 

Απειλή (ΤίπθαΙ) - Κάθε άτομο, δραστηριότητα ή συμβάν 
που είναι δυνατόν να προκαλέσει παραβίαση της διαθεσι¬ 
μότητας, ακεραιότητας ή εμπιστευτικότητας σε οποιοδή- 
ποτε σύστημα το οποίο χρησιμοποιείται για την παρακο¬ 
λούθηση, αποθήκευση, επεξεργασία, εξαγωγή, διαβίβα¬ 
ση, ανακοίνωση και δημοσιοποίηση δεδομένων 
επικοινωνίας. Οι απειλές μπορεί να είναι τυχαίες ή σκόπι¬ 
μες και μπορεί να προέρχονται είτε από το εσωτερικό εί¬ 
τε από το εξωτερικό του παρόχου. 

Αποστρατιωτικοποιημένη Ζώνη (ΟβίΎΐίΙϋδπζβά Ζοπθ) - 
Το υποδίκτυο του παρόχου που βρίσκεται μεταξύ των 
εξωτερικών δικτύων (π.χ. το Διαδίκτυο) και του έμπιστου 
εσωτερικού δικτύου του παρόχου. Τυπικά σε αυτή τη ζώ¬ 
νη τοποθετούνται συστήματα που παρέχουν υπηρεσίες 
προσβάσιμες από οποιονδήποτε μέσω του Διαδικτύου ή 
άλλων εξωτερικών δικτύων (π.χ. διακομιστές παγκόσμιου 
ιστού και ηλεκτρονικού ταχυδρομείου). 

Ασύμμετρη Κρυπτογραφία - Κρυπτογραφία που στηρί¬ 
ζεται στη χρήση ενός ζευγαριού κλειδιών, ενός ιδιωτικού 
και ενός δημόσιου. Όταν η κρυπτογράφηση γίνεται με το 
ένα κλειδί, η αποκρυπτογράφηση γίνεται με το άλλο. Εί¬ 
ναι γνωστή και ως Κρυπτογραφία Δημόσιου Κλειδιού. 

Ακεραιότητα - Ιδιότητα της διαδικασίας ασφάλειας, με 
την οποία ελέγχεται αν τα δεδομένα έχουν τροποποιηθεί 
ή καταστραφεί κατά μη εξουσιοδοτημένο τρόπο. 


Αυξητική Αντιγραφή (ίηοΓθηπθηΐ3ΐ ό3σΙ<υρ) - Αντιγραφή μό¬ 
νο των αρχείων τα οποία έχουν προστεθεί ή τροποποιηθεί 
πρόσφατα. Εξυπηρετεί την επιτάχυνση της διαδικασίας 
αντιγραφής αφού αποθηκεύονται μόνο τα αρχεία που έχουν 
αλλάξει μετά από την εκτέλεση της τελευταίας αντιγραφής. 

Δεδομένα Διάρθρωσης (οοπί^υΓΒΐίοπ 0313) - Τα απα¬ 
ραίτητα στοιχεία δεδομένων που σχετίζονται με τη διάρ¬ 
θρωση, τον προγραμματισμό και τη σωστή λειτουργία 
των δικτυακών διατάξεων του παρόχου. 

Δεδομένα Θέσης - Τα δεδομένα που υποβάλλονται σε 
επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών και 
υποδεικνύουν τη γεωγραφική θέση του τερματικού εξο¬ 
πλισμού του χρήστη μιας διαθέσιμης στο κοινό υπηρε¬ 
σίας ηλεκτρονικών επικοινωνιών. 

Δεδομένα Κίνησης - Τα δεδομένα που υποβάλλονται σε 
επεξεργασία με σκοπό τη διαβίβαση μιας επικοινωνίας σε 
δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της. 

Διαδικτυακάς Επικοινωνίες - Υπηρεσίες ηλεκτρονικών 
επικοινωνιών οι οποίες παρέχονται από δίκτυο μετάδο¬ 
σης δεδομένων και φωνής με πακετομεταγωγή το οποίο 
είτε έχει τη μορφή ενδοδικτύου (ΙπΙγ3πθΙ) είτε είναι ολό¬ 
κληρο το Διαδίκτυο (ΙπΙθιήθΙ). 

Διακομιστής (5θπ/θγ) - Πληροφοριακό σύστημα το οποίο 
παρέχει δεδομένα και υπηρεσίες σε άλλα υπολογιστικά συ¬ 
στήματα, γνωστά ως πελάτες (σΐίθπΐε), τα οποία συνδέονται 
σε αυτόν από απόσταση και με δική τους πρωτοβουλία. 

Διαμόρφωση ή Διάρθρωση (σοπίίρυΓΒΐίοη) - Διαδικασία 
κατά την οποία αρχικοποιούνται ή μεταβάλλονται τα δε¬ 
δομένα διάρθρωσης. 

Διαφορική Αντιγραφή (άίίίθΓΘηΐίαΙ ό3θΙ<υρ) - Αντιγραφή 
που αποθηκεύει άλατα αρχεία που έχουν αλλάξει από την 
τελευταία πλήρη αντιγραφή. Δεν αποθηκεύει τα αρχεία 
της τελευταίας πλήρους αντιγραφής. 

Δικτυακή Σύνοδος (εθεείοπ) - Η ακολουθία αλληλεπι¬ 
δράσεων μεταξύ δύο άκρων επικοινωνίας που λαμβάνει 
χώρα κατά τη διάρκεια μιας δικτυακής επικοινωνίας. 

Δικτυακοί Πόροι - Τα συστήματα (υπολογιστές, εξυπηρε- 
τητές, δικτυακοί κόμβοι, κ.α.) που απαρτίζουντο δίκτυοτου 
παρόχου ή είναι συνδεδεμένα σε αυτό, αλλά και τα δεδο¬ 
μένα που αποθηκεύονται και διακινούνται καθώς και οι 
υπηρεσίες που προσφέρονται από το δίκτυο του παρόχου. 

Δίκτυο Ηλεκτρονικών Επικοινωνιών - Τα συστήματα με¬ 
τάδοσης και, κατά περίπτωση, ο εξοπλισμός μεταγωγής 
ή δρομολόγησης και οι λοιποί πόροι που επιτρέπουν τη 
μεταφορά σημάτων, με τη χρήση καλωδίου, ραδιοσημά- 
των, οπτικού ή άλλου ηλεκτρομαγνητικού μέσου, συμπε¬ 
ριλαμβανομένων των δορυφορικών δικτύων, των σταθε¬ 
ρών (μεταγωγής δεδομένων μέσω κυκλωμάτων και πακε- 
τομεταγωγής, συμπεριλαμβανομένου του Διαδικτύου) 
και κινητών επίγειων δικτύων, των συστημάτων ηλεκτρι¬ 
κών καλωδίων, εφόσον χρησιμοποιούνται για τη μετάδο¬ 
ση σημάτων, των δικτύων που χρησιμοποιούνται για ρα¬ 
διοτηλεοπτικές εκπομπές, καθώς και των δικτύων καλω¬ 
διακής τηλεόρασης, ανεξάρτητα από το είδος των 
μεταφερόμενων πληροφοριών. 

Δοκιμαστικά Δεδομένα - Δεδομένα που απαιτούνται 
από τοντηλεπικοινωνιακό εξοπλισμό του παρόχου για την 
παροχή υπηρεσιών (ενδεικτικά αναφέρονται ονόματα 
χρήστη, αριθμοί κλήσης κλπ.) και τα οποία είτε δεν αντι¬ 
στοιχούν σε χρήστες είτε αντιστοιχούν σε στελέχη ή / και 
χρήστες του οργανισμού οι οποίοι εν γνώσει τους συμμε¬ 
τέχουν σε δοκιμές τηλεπικοινωνιακού εξοπλισμού (φιλι¬ 
κοί χρήστες). 
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Δοκιμές Αποδοχής - Διαδικασία εκτέλεσης δοκιμών της 
λειτουργίας ενός προϊόντος ή υπηρεσίας, μέσω της οποί¬ 
ας ελέγχεται κατά πόσον το προϊόν συμμορφώνεται αφε¬ 
νός με την περιγραφή του κατασκευαστή και αφετέρου 
με τις απαιτήσεις του αγοραστή. 

Δρομολογητής (Γουίθή - Τηλεπικοινωνιακός εξοπλι¬ 
σμός που παρέχει υπηρεσίες δρομολόγησης δεδομένων 
στο στρώμα δικτύου με βάση τη στοίβα πρωτοκόλλων του 
Διαδικτύου. 

Εμπιστευτικότητα - Η ιδιότητα της διαδικασίας ασφά¬ 
λειας με την οποία αποτρέπεται η διάθεση ή η αποκάλυ¬ 
ψη πληροφοριών σε μη εξουσιοδοτημένα άτομα, οντότη¬ 
τες ή διεργασίες. 

Εξουσιοδότηση - Η διαδικασία χορήγησης δικαιώματος 
πρόσβασης ή χρήσης μιας υπηρεσίας ή πληροφοριών, με 
βάση την έγκυρη ταυτότητα. Η εξουσιοδότηση χορηγεί¬ 
ται από την οντότητα που ελέγχει τον πόρο για τον οποίο 
ζητείται η πρόσβαση. 

Επαλήθευση Ταυτότητας (ΑυΙάθπΙίοαΙίοπ) - Οι αυτομα¬ 
τοποιημένες και τυποποιημένες μέθοδοι για την πιστο¬ 
ποίηση της ταυτότητας του χρήστη στο Διαδίκτυο. Ανα- 
φέρεται και ως αυθεντικοποίηση. 

Επισύνδεση ή Εισβολή (ΙηίΓυείοπ) - Απόπειρα παραβία¬ 
σης της εμπιστευτικότητας, ακεραιότητας και διαθεσιμό¬ 
τητας των υπολογιστικών συστημάτων και των δικτύων 
του παρόχου, καθώς και προσπάθεια παράκαμψης των 
μηχανισμών ασφάλειας αυτών. 

Ευπάθεια (νυΙηθΓΒόίΙίΙγ) - Αδυναμία ή ελάττωμα στο υλι¬ 
κό (ΙιαΓάννεΓθ), στο λογισμικό (εοίΙννβΓθ) ή στην αρχιτε¬ 
κτονική ενός συστήματος, καθώς και στις διαδικασίες 
ασφαλείας που ακολουθούνται, που μπορεί κάποιος να 
εκμεταλλευτεί προκειμένου να παραβιάσει τη διαθεσιμό¬ 
τητα, ακεραιότητα ή εμπιστευτικότητα του εν λόγω συ¬ 
στήματος. 

Θύρα (ροά) - Άκρο μιας λογικής σύνδεσης του στρώμα¬ 
τος μεταφοράς όπως αυτό ορίζεται με βάση τη στοίβα 
πρωτοκόλλων του Διαδικτύου. 

Ιός (νίτυε) - Στοιχείο λογισμικού το οποίο εισβάλλει σε 
ένα υπολογιστικό σύστημα με σκοπό να προκαλέσει 
ανεπιθύμητα αποτελέσματα, όπως καταστροφή δεδο¬ 
μένων χρήστη, άρνηση υπηρεσίας (άθηί3ΐ-οί-5θΓνίοθ), 
παραβίαση του συστήματος ασφάλειας κτλ. Κύριο χα¬ 
ρακτηριστικό του είναι το γεγονός ότι μεταδίδεται με¬ 
ταξύ των υπολογιστικών συστημάτων με τη μορφή εκτε- 
λέσιμων προγραμμάτων (ΘΧθουί3όΙθ5), εγγραφών συ¬ 
στήματος (εγείθΓΠ ογ όοοί ΓθοοΓάε) και μακρο-εντολών 
(ιτιαοΓοε) . Οι ιοί είναι δυνατόν να επιτεθούν κατά προ¬ 
σωπικών υπολογιστών, διακομιστών, δρομολογητών 
κτλ. 

Κλειδί Κρυπτογράφησης - Σειρά από όίίε συγκεκριμέ¬ 
νου μήκους που χρησιμοποιείται για να κρυπτογραφήσει 
ή να αποκρυπτογραφήσειτα δεδομένα σε έναν αλγόριθ¬ 
μο κρυπτογράφησης. 

Λογισμικό Ελέγχου - Το λογισμικό το οποίο χρησιμοποι¬ 
είται για τη διεξαγωγή ελέγχων και μετρήσεων με σκοπό 
τον έλεγχο ασφάλειας δικτύου. 

Λογισμικό Προστασίας από Ιούς (αηίί-νίΓυε εοίΙννβΓθ) - 
Κατηγορία εφαρμογών λογισμικού που αποσκοπεί στην 
ανίχνευση και απομάκρυνση ιών που έχουν προσβάλλει 
ένα υπολογιστικό σύστημα. 


Μη Αποποίηση Ευθύνης - Διαδικασία που εξασφαλίζει 
ότι οι συναλλασσόμενοι σε εφαρμογές και υπηρεσίες Δια¬ 
δικτύου που προσφέρονται είτε από πάροχους διαδικτύ¬ 
ου είτε από πάροχους υπηρεσίας εφαρμογής δεν μπο¬ 
ρούν να αρνηθούν τη συμμετοχή τους στη συναλλαγή. 

Ομάδα Ελέγχου Ασφάλειας Δικτύου - Ομάδα Εργασίας 
του παρόχου, η οποία πρόκειται να πραγματοποιήσει 
έλεγχο ασφάλειας δικτύου σε υπολογιστικό και δικτυακό 
εξοπλισμό. 

Παροχή Δικτύου Διαδικτυακών Επικοινωνιών - Η σύστα¬ 
ση, η λειτουργία, ο έλεγχος και η διάθεση τέτοιου δικτύ¬ 
ου. 

Πάροχος Δικτύου Διαδικτυακών Επικοινωνιών (ΙπΙθγπθΙ 
ΒθΓνΐοθ ΡΓονίάθή - Η επιχείρηση ή το νομικό πρόσωπο που 
παρέχει δίκτυο διαδικτυακών επικοινωνιών ή/και το νομι¬ 
κό πρόσωπο που παρέχει στο προσωπικό του την απα¬ 
ραίτητη δικτυακή υποδομή για χρήση διαδικτυακών επι¬ 
κοινωνιών στα πλαίσια της εργασίας του. Για τις ανάγκες 
του παρόντος ο πάροχος δικτύου διαδικτυακών επικοι¬ 
νωνιών θα αναφέρεται στη συνέχεια του κειμένου ως «πά¬ 
ροχος διαδικτύου». 

Πάροχος Υπηρεσίας Εφαρμογής (ΑρρΙίοαΙίοη Βθπ/ϊοθ 
ΡΓονίάθή - μία οντότητα (οργανισμός, εταιρεία κτλ), η 
οποία διαθέτει εφαρμογές λογισμικού (εοίίνναΓθ) , υλική 
υποδομή (άαΓάνναΓθ) και δικτυακή υποδομή, προκειμέ¬ 
νου να παρέχει υπηρεσίες και εφαρμογές στον πάροχο 
δικτύου διαδικτυακών επικοινωνιών και τους χρήστες 
του. 

Περιβάλλον Δοκιμής - Τμήμα του εξοπλισμού του πα¬ 
ρόχου, το οποίο είναι δικτυακά απομονωμένο από το Πε¬ 
ριβάλλον Παραγωγής και χρησιμοποιείται για δοκιμές, 
εκπαίδευση, παρουσιάσεις κλπ. 

Περιβάλλον Παραγωγής - Το σύνολο του εξοπλισμού 
του παρόχου το οποίο χρησιμοποιείται για ανταλλαγή δε¬ 
δομένων και παροχή υπηρεσιών στους υπαλλήλους, 
στους πελάτες και στους συνεργάτες του παρόχου και 
βρίσκεται συνήθως εντός της περιμέτρου του παρόχου 
και προστατευόμενο από το εταιρικό ίϊτθννθΙΙ. 

Περίμετρος Δικτύου - Όλα τα σημεία πρόσβασης του δι¬ 
κτύου του παρόχου σε εξωτερικά δίκτυα (Διαδίκτυο, δί¬ 
κτυα άλλων υποκαταστημάτων του παρόχου, δίκτυα συ- 
νεργατώντου, ασύρματα δίκτυα, κτλ) 

Πηγαίος Κώδικας - Η μορφή στην οποία βρίσκεταιτο λο¬ 
γισμικό (συνήθως σε μορφή εντολών κάποιας γλώσσας 
προγραμματισμού υψηλού επιπέδου κατανοητή στον άν¬ 
θρωπο) προτού περάσει από διαδικασία μεταγλώττισης 
και μετατραπεί σε μορφή κατανοητή από το εκάστοτε 
υπολογιστικό σύστημα. 

Πλήρης Αντιγραφή (ΐυΙΙ όαοΚυρ) - Πλήρης αποθήκευση 
κάθε αρχείου ενός διακομιστή ή δικτυακού στοιχείου. 

Πολιτική Ασφάλειας - Το σύνολο τεχνικών, οργανωτι¬ 
κών και κανονιστικών μέτρων, τα οποία εφαρμόζονται 
από πάροχο διαδικτύου και αποβλέπουν στη διασφάλιση 
του απορρήτου και γενικά στην ασφαλή λειτουργία των 
δικτύων διαδικτυακών επικοινωνιών. 

Πόροι Δεδομένων Επικοινωνιών - οι πόροι λογισμικού 
(εοίίνναΓθ), υλικού (άαΓάνναΓθ), συστημάτων, υπηρεσιών 
και δικτύων όπου αποθηκεύονται, επεξεργάζονται, διαβι¬ 
βάζονται και ανακοινώνονται δεδομένα επικοινωνιών χρη¬ 
στών. 
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Προσδιορισμός Ταυτότητας - Αναφέρεται σε λιγότερο 
τυποποιημένες μεθόδους (σε σχέση με τη διαδικασία 
επαλήθευσης ταυτότητας) για την πιστοποίηση της φύ¬ 
σης του χρήστη, που είναι συνήθως μη αυτόματες και 
απαιτούν ανθρώπινη παρέμβαση. 

Προστασία του Απορρήτου - Η απαγόρευση της ακρό¬ 
ασης, της παγίδευσης, της αποθήκευσης, της επεξεργα¬ 
σίας, της ανακοίνωσης, της δημοσιοποίησης ή άλλου τύ¬ 
που υποκλοπής ή παρακολούθησης της τηλεπικοινωνίας 
και των δεδομένων επικοινωνίας από άλλα πρόσωπα, χω¬ 
ρίς τη συγκατάθεσή τους, εξαιρουμένων των νόμιμα 
εξουσιοδοτημένων. 

Συγκατάθεση του Χρήστη ή του Συνδρομητή - Η συγκα¬ 
τάθεση του προσώπου που αφορούν τα δεδομένα επικοι¬ 
νωνιών, κατά την έννοια της οδηγίας 95/46/ΕΚ. 

Συμμετρική Κρυπτογραφία - Κρυπτογραφία στην οποία 
η κρυπτογράφηση και αποκρυπτογράφηση πραγματο¬ 
ποιούνται με ένα κλειδί. 

Σύστημα Ανίχνευσης Επισύνδεσης (ΙπίΓυείοη ϋθΐθοίίοπ 
δγείθπι) - Το σύστημα που παρακολουθεί τα διάφορα γε¬ 
γονότα στα υπολογιστικά συστήματα και δίκτυα του πα- 
ρόχου και τα αναλύει για να εντοπίσει σημάδια επισυνδέ- 
σεων. 

Ταυτότητα - Οι πληροφορίες που προσδιορίζουν τον 
χρήστη με μοναδικό τρόπο. 

Τοίχος Προστασίας (ΡίτονναΙΙ) -Το σύστημα που υλοποι¬ 
είται με λογισμικό ή/και υλικό για την προστασία του εσω¬ 
τερικού δικτύου του παρόχου από εξωτερικές επιθέσεις. 

Υπεργολάβος - Όπως ορίζεται από την ισχύουσα νομο¬ 
θεσία. 

Υπηρεσία Προστιθέμενης Αξίας - Υπηρεσία μη τηλεπι¬ 
κοινωνιακή η οποία μπορεί να παρέχεται ή να υποστηρί¬ 
ζεται από δίκτυο διαδικτυακών επικοινωνιών. 

Υπηρεσίες Ηλεκτρονικών Επικοινωνιών - Οι υπηρεσίες 
που παρέχονται συνήθως έναντι αμοιβής και των οποίων 
η παροχή συνίσταται, εν όλω ή εν μέρει, στη μεταφορά 
σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών, συμπερι¬ 
λαμβανομένων των υπηρεσιών τηλεπικοινωνιών και των 
υπηρεσιών μετάδοσης σε δίκτυα που χρησιμοποιούνται 
για ραδιοτηλεοπτικές μεταδόσεις. Στις υπηρεσίες ηλε¬ 
κτρονικών επικοινωνιών δεν περιλαμβάνονται υπηρεσίες 
παροχής ή ελέγχου περιεχομένου που μεταδίδεται μέσω 
δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και 
υπηρεσίες της κοινωνίας της πληροφορίας, όπως αυτές 
ορίζονται στην παράγραφο 2 του άρθρου 2 του 
ΠΔ39/2001 (Α’28), και που δεν αφορούν, εν όλω ή εν μέ- 
ρει, τη μεταφορά σημάτων σε δίκτυα επικοινωνιών. 

Υπολειπόμενος Κίνδυνος (ΠθείάυαΙ ΡϋεΙ<) - Κίνδυνος που 
εξακολουθεί να υφίσταται ακόμα και μετά την υλοποίηση 
μέτρων ασφαλείας που αντιμετωπίζουν ένα κίνδυνο πα¬ 
ραβίασης του απορρήτου επικοινωνιών των χρηστών. 

Χρήστης: κάθε φυσικό πρόσωπο που χρησιμοποιεί δια¬ 
θέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, 
για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να 
είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας. 

Χρήστης Παρόχου: κάθε φυσικό πρόσωπο που εργάζε¬ 
ται στην επιχείρηση ή το νομικό πρόσωπο που παρέχει 
στο προσωπικό του την απαραίτητη δικτυακή υποδομή 
για χρήση διαδικτυακών επικοινωνιών στα πλαίσια της ερ¬ 
γασίας του. 


ΚΕΦΑΛΑΙΟ II 

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΕΡΙΜΕΤΡΟΥ 

Άρθρο 3 
Γ ενικά 

1. Ο πρωταρχικός σκοπός της πολιτικής ασφάλειας πε¬ 
ριμέτρου είναι να προστατεύσει τους διάφορους δικτυα- 
κούς πόρους του παρόχου διαδικτύου από εισβολείς, δη¬ 
λαδή να αποτρέπειτη μη εξουσιοδοτημένη πρόσβαση σε 
στοιχεία του δικτύου του παρόχου διαδικτύου (σε υλικό ή 
λογισμικό), καθώς και τη διακοπή της ομαλής παροχής 
των υπηρεσιών του παρόχου διαδικτύου. Δεδομένου ότι 
οι κίνδυνοι και οι απειλές της ασφάλειας των δικτυακών 
πόρων δεν μπορούν να ελεγχθούν εξ ολοκλήρου, σκοπός 
της πολιτικής ασφάλειας περιμέτρου είναι να διατηρήσει 
ένα ικανοποιητικό επίπεδο ασφάλειας, ιδιαίτερα όσον 
αφορά την πρόσβαση από/προς το Διαδίκτυο, ανάλογα 
με την Αποτίμηση Κινδύνου (Κεφάλαιο VII) που οφείλει 
πρώτα ο πάροχος διαδικτύου να έχει πραγματοποιήσει. 

2. Η πολιτική ασφάλειας περιμέτρου ορίζει τους μηχα¬ 
νισμούς (σε υλικό και λογισμικό) που χρησιμοποιούνται 
για τον σκοπό που περιγράφηκε παραπάνω, καθώς και 
τους τρόπους διαμόρφωσης και ανανέωσης αυτών. Εν¬ 
δεικτικά και όχι περιοριστικά αναφέρονται τα εξής συ¬ 
στήματα: Τοίχος Προστασίας (ίίΓθνναΙΙ), Σύστημα Προ¬ 
στασίας Αποστρατιωτικοποιημένης Ζώνης, και Σύστημα 
Ανίχνευσης Επισυνδέσεων (ΙηίΓυείοη ΟθΙθοΙίοπ δγείοπι), 
μεταξύ άλλων. 

3. Προκειμένου η πολιτική ασφάλειας περιμέτρου να 
εξασφαλίζει το επιθυμητό επίπεδο ασφάλειας των δι- 
κτυακών πόρων ενός παρόχου διαδικτύου, πρέπει ο πά¬ 
ροχος διαδικτύου να ακολουθεί τις διεθνώς, ευρέως απο¬ 
δεκτές πρακτικές που αφορούν την πολιτική ασφάλειας 
περιμέτρου. Αυτό συνεπάγεται την κατάλληλη επιλογή, 
διαμόρφωση, και ανανέωση των συστημάτων που υλο¬ 
ποιούν την ασφάλεια περιμέτρου. 

4. Ο πάροχος διαδικτύου οφείλει να ορίζει Υπεύθυνο 
Πολιτικής Ασφάλειας Περιμέτρου, ο οποίος είναι υπεύθυ¬ 
νος για τον καθορισμό της πολιτικής ασφάλειας περιμέ¬ 
τρου και για τη σωστή εφαρμογή της. Γιατον σκοπό αυτό, 
ο πάροχος διαδικτύου οφείλει να αναγνωρίζει ότι η δια¬ 
χείριση των συστημάτων περιμετρικής ασφάλειας απαι¬ 
τεί σημαντικό χρόνο και κατάλληλη εκπαίδευση, και να 
εξασφαλίζει αυτά στον Υπεύθυνο Πολιτικής Ασφάλειας 
Περιμέτρου. 

Άρθρο 4 

Συστήματα ΡίΓονναΙΙε 

1. Ο πάροχος διαδικτύου υποχρεούται να χρησιμοποιεί 
συστήματα ίί ΓθνναΙΙ για την προστασία των συνδέσεων του 
δικτύου του με το Διαδίκτυο ή με άλλα δίκτυα, σύμφωνα 
με την πολιτική ασφάλειας περιμέτρου που έχει ορίσει, 
χωρίς διακοπή (24 ώρες το 24ωρο). Διακοπή της λειτουρ¬ 
γίας των συστημάτων επιτρέπεται σε περιπτώσεις συντή¬ 
ρησης ή αναβάθμισης, ύστερα όμως από έγκαιρη ενημέ¬ 
ρωση των χρηστών και αναβολή της συνδεσιμότητας του 
δικτύου με εξωτερικά δίκτυα και το Διαδίκτυο για όσο 
χρόνο διαρκούν οι διαδικασίες αυτές. 

2. Ο πάροχος διαδικτύου πρέπει ιδιαίτερα να εξασφαλί¬ 
ζει την ασφάλεια των ιδίων συστημάτων ΐίτονναΙΙ, όπως για 
παράδειγμα μέσω της χρήσης ενός πολύ ασφαλούς λει¬ 
τουργικού συστήματος για τα συστήματα αυτά. 
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3. Οι πάροχοι διαδικτύου οφείλουν να αντιμετωπίζουν 
τα συστήματα ΐίΓβνναΙΙ ως την πρώτη γραμμή άμυνας 
από εξωτερικές απειλές, τα οποία όμως δεν διασφαλί¬ 
ζουν πλήρως την ασφάλεια των εσωτερικών συστημά¬ 
των, τα οποία πρέπει να προστατεύονται αυτόνομα και 
διαρκώς. 

4. Η αρχιτεκτονική των συστημάτωνίίΓΘνναΙΙ που θα ανα¬ 
πτυχθεί σε έναν πάροχο διαδικτύου πρέπει να διακρίνειτο 
εσωτερικό δίκτυο σε δύο βασικές περιοχές: (α) εσωτερι¬ 
κό έμπιστο (ΐΓυεΙθό) δίκτυο και (β) δίκτυο αποστρατικο- 
ποιημένης ζώνης. Το σύστημα ίίΓΘνναΙΙ επιβάλλεται να μην 
επιτρέπει την απευθείας πρόσβαση σε δεδομένα που 
υπάρχουν στα πληροφοριακά συστήματα και τα δικτυακά 
στοιχεία του εσωτερικού έμπιστου δικτύου. 

5. Η επιλογή, διαμόρφωση και ανανέωση των συστημά¬ 
των ΐίΓθνναΙΙ γίνεται με βάση τις διεθνώς, ευρέως αποδε¬ 
κτές πρακτικές, οι οποίες περιλαμβάνουν αλλά δεν πε¬ 
ριορίζονται στις εξής: 

(α) Η βασική πολιτική διαμόρφωσης ενός ίίΓθνναΙΙ σχετι¬ 
κά με την εισερχόμενη κίνηση είναι να μην επιτρέπει την 
είσοδο σε κανένα πακέτο και σύνδεση εκτός εάν ο τύπος 
της κίνησης και της σύνδεσης έχει ρητώς επιτραπεί. Αυτή 
η προσέγγιση θεωρείται περισσότερο ασφαλής από το να 
επιτρέπει αρχικά την είσοδο σε όλες τις συνδέσεις και πα¬ 
κέτα, εξαιρώντας κατόπιν συγκεκριμένους τύπους σύν¬ 
δεσης και κίνησης. 

(β) Η διαμόρφωση των ίίΓθνναΙΙε γίνεται με βάση την 
αποτίμηση κινδύνων δικτύου και οφείλει να ανανεώνεται 
(αν χρειάζεται) κάθε φορά που τροποποιείται η Αναφορά 
Αποτίμησης Κινδύνων ή και σε προγραμματισμένα, τα¬ 
κτά χρονικά διαστήματα. Η πολιτική ασφάλειας περιμέ¬ 
τρου καθορίζει μια τυπική διαδικασία για τη διαχείριση 
των προσθέσεων και αφαιρέσεων των κανόνων του ίϊτβ- 
νναΙΙ. 

(γ) Ο πάροχος διαδικτύου θα επιτρέπει την είσοδο από 
το Διαδίκτυο προς το εσωτερικό έμπιστο δίκτυο μέσω του 
ίίΓθνναΙΙ εκείνων μόνο των δικτυακών συνόδων που έχουν 
ισχυρή ταυτοποίηση και κρυπτογράφηση. 

(δ) Το ίίΓθνναΙΙ πρέπει να ελέγχεται και παρακολουθείται 
συνεχώς για τον εντοπισμό παραβιάσεων ή κακής διαχεί¬ 
ρισης, πιθανώς και με τη χρήση Συστημάτων Ανίχνευσης 
Επισυνδέσεων. 

(ε) Το ίίΓθνναΙΙ πρέπει να ενημερώνει τον Υπεύθυνο Πολι¬ 
τικής Ασφάλειας Περιμέτρου σε σχεδόν πραγματικό χρό¬ 
νο σχετικά με κάθε στοιχείο που ενδέχεται να χρειάζεται 
άμεσης εξέτασης (όπως μια εισβολή στο σύστημα) και 
αντιμετώπισης. 

(στ) Η δρομολόγηση με βάση τη διεύθυνση πηγής 
(εουΐΌθ ΓουΙιης)) πρέπει να είναι απενεργοποιημένη σε 
όλα τα συστήματα ίίΓβνναΙΙ και τους εξωτερικούς δρομο- 
λογητές. 

(ζ) Το σύστημα ίίΓΘνναΙΙ πρέπει να καταγράφει λεπτομε¬ 
ρώς και να αποθηκεύει για ικανοποιητικό χρονικό διάστη¬ 
μα όλες τις δικτυακές συνόδους ώστε να μπορούν να εξε¬ 
ταστούν για ανωμαλίες οίίΐίπθ. Στο αποθηκευμένο αυτό 
υλικό έχει πρόσβαση μόνο ο Υπεύθυνος Πολιτικής Ασφά¬ 
λειας Περιμέτρου. 

(η) Ο Υπεύθυνος Πολιτικής Ασφάλειας Περιμέτρου 
οφείλει να κρατά γραπτώς τεκμηρίωση της διαμόρφωσης 
και λειτουργίας του συστήματος ΐίΓβνναΙΙ, συμπεριλαμβα¬ 
νομένων πληροφοριών σχετικά με τη λειτουργία του δι¬ 


κτύου (διάγραμμα δικτύου, διευθύνσεις ΙΡ, και άλλα), κα¬ 
θώς και όλων των υπηρεσιών και των τύπων κίνησης που 
εξουσιοδοτούνται να διατρέξουντο ίίΓονναΙΙ. 

(θ) Ο Υπεύθυνος Πολιτικής Ασφάλειας Περιμέτρου 
οφείλει να αξιολογεί κάθε νέα έκδοση του λογισμικού του 
συστήματος ίίΓΘνναΙΙ και να αποφασίζει εάν η ανανέωσή 
του είναι αναγκαία. Όλες οι προτεινόμενες από τον κατα¬ 
σκευαστή τροποποιήσεις (ραίοΙίΘε), που είναι σχετικές με 
την ασφάλεια του συστήματος ΐίΓθνναΙΙ, πρέπει να υλοποι¬ 
ούνται άμεσα. 

Άρθρο 5 

Συστήματα Ανίχνευσης Επισυνδέσεων 

1. Ο πάροχος διαδικτύου υποχρεούται να χρησιμοποιεί 
συστήματα ανίχνευσης επισυνδέσεων για την ενίσχυση 
της προστασίας του δικτύου του, σύμφωνα με την πολιτι¬ 
κή ασφάλειας περιμέτρου που έχει ορίσει, χωρίς διακοπή 
(24 ώρες το 24ωρο). Διακοπή της λειτουργίας των συ¬ 
στημάτων αυτών επιτρέπεται μόνο για διαδικασίες συ¬ 
ντήρησης ή αναβάθμισής τους, εκτός εάν συντρέχουν πε¬ 
ριπτώσεις ανωτέρας βίας (π.χ. βλάβες) ή η διακοπή οφεί¬ 
λεται σε λόγους που δεν άγονται στο πεδίο 
δραστηριότητας και ευθύνης του παρόχου. 

2. Η λειτουργικότητα των συστημάτων ανίχνευσης επι- 
συνδέσεων πρέπει τουλάχιστον να περιλαμβάνει την πα¬ 
ρακολούθηση των επισφαλών γεγονότων στο δίκτυο, κα¬ 
θώς και την παθητική (ραεείνσ) αντίδρασή τους σε περί¬ 
πτωση διαπίστωσης επισύνδεσης. Η παθητική αντίδραση 
περιλαμβάνει τουλάχιστον την ενεργοποίηση των συνα¬ 
γερμών που υποστηρίζει το σύστημα και την ειδοποίηση 
του Υπεύθυνου Πολιτικής Ασφάλειας Περιμέτρου. Συνι- 
στάται όμως το σύστη μα ανίχνευσης επισύνδεσης να ορί¬ 
ζει και να μπορεί να επιτελέσει επιπλέον ενεργές (αοίίνθ) 
αντιδράσεις σε περίπτωση διαπίστωσης επισύνδεσης. 
Ενδεικτικά και όχι περιοριστικά αναφέρονται τα εξής πα¬ 
ραδείγματα ενεργής αντίδρασης: συλλογή επιπλέον πλη¬ 
ροφοριών, μεταβολή του δικτυακού περιβάλλοντος, και 
απευθείας αντίδραση κατά των εισβολέων. 

3. Η διαμόρφωση των συστημάτων ανίχνευσης επισυν- 
δέσεων γίνεται με βάση την αποτίμηση κινδύνων δικτύου 
και οφείλει να ανανεώνεται (αν χρειάζεται) κάθε φορά 
που τροποποιείται η Αναφορά Αποτίμησης Κινδύνων ή και 
σε προγραμματισμένα, τακτά χρονικά διαστήματα. Η πο¬ 
λιτική ασφάλειας περιμέτρου καθορίζει μια τυπική διαδι¬ 
κασία για τη διαμόρφωση των συστημάτων ανίχνευσης 
επισυνδέσεων. 

4. Τα συστήματα ανίχνευσης θα πρέπει να ελέγχονται 
σε τακτά χρονικά διαστήματα, από το προσωπικό που εί¬ 
ναι υπεύθυνο για το χειρισμό καιτη λειτουργία τους, ώστε 
το λογισμικό τους να είναι ενημερωμένο. 

5. Τα διάφορα γεγονότα που ανιχνεύονται από το σύ¬ 
στημα ανίχνευσης επισυνδέσεων πρέπει να καταγράφο¬ 
νται και να αποθηκεύονται από το σύστημα για περαιτέρω 
επεξεργασία. Σημαντικά γεγονότα που καταγράφονται 
από το σύστημα, θα αναλύονται διεξοδικά από τον Υπεύ¬ 
θυνο Πολιτικής Ασφάλειας Περιμέτρου και θα καταγρά¬ 
φονται σε ειδική Φόρμα Καταγραφής Επισυνδέσεων που 
θα ορίζεται από την πολιτική ασφάλειας περιμέτρου. Πε¬ 
ριοδικά, ή ύστερα από έλεγχο από την ΑΔΑΕ, ο πάροχος 
διαδικτύου είναι υποχρεωμένος να αποστέλλει τις φόρ¬ 
μες αυτές στην ΑΔΑΕ. 
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ΚΕΦΑΛΑΙΟ III 

ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΚΑΙ ΕΓΚΑΤΑΣΤΑΣΗΣ 
ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΟΥ ΕΞΟΠΛΙΣΜΟΥ 

Άρθρο 6 

Ανάγκη Ύπαρξης Πολιτικής Εγκατάστασης 
και Διαχείρισης Τηλεπικοινωνιακού Εξοπλισμού 

1. Κάθε πάροχος διαδικτύου υποχρεούται να διαθέτει 
Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοινωνια¬ 
κού Εξοπλισμού ως μέρος της Πολιτικής Ασφάλειάς του. 

2. Η Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοι¬ 
νωνιακού Εξοπλισμού εξασφαλίζει ότι τυχόν αλλαγές 
στον υπάρχοντα εξοπλισμό (υλικό, λογισμικό και διαμόρ¬ 
φωση αυτών) καθώς και η εισαγωγή καινούργιου εξοπλι¬ 
σμού στη λειτουργία του παρόχου διαδικτύου γίνεται κα¬ 
τά τέτοιο τρόπο ώστε να διασφαλίζεται το απόρρητο των 
επικοινωνιών και να μην παραβιάζεται η Πολιτική Ασφά¬ 
λειας του παρόχου διαδικτύου. 

3. Η Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοι¬ 
νωνιακού Εξοπλισμού μπορεί να είναι κοινή για όλες τις 
οργανικές μονάδες του παρόχου διαδικτύου ή να διαφο¬ 
ροποιείται ανάλογα με τις ειδικές ανάγκες κάθε οργανι¬ 
κής μονάδας. Σε κάθε περίπτωση όμως θα πρέπει να τη¬ 
ρούνται οι βασικές αρχές εγκατάστασης και διαχείρισης 
που περιγράφονται στον παρόντα Κανονισμό. 

Άρθρο 7 

Σκοπός και Περιεχόμενο της Πολιτικής Διαχείρισης 
και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού 

1. Η Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοι¬ 
νωνιακού Εξοπλισμού, στο πλαίσιο της απαίτησης για δια¬ 
σφάλιση του απορρήτου των επικοινωνιών και της τήρησης 
της Πολιτικής Ασφαλείας του παρόχου διαδικτύου αλλά και 
γενικότερα στο πλαίσιο της εύρυθμης λειτουργίας του πα¬ 
ρόχου διαδικτύου, καθορίζει ένα συστηματικό τρόπο για: 

(α) Τη δημιουργία πλήρους ιστορικού αναφορικά με τις 
αλλαγές που έχουν πραγματοποιηθεί στον τηλεπικοινω¬ 
νιακό εξοπλισμό του παρόχου διαδικτύου. 

(β) Την εκτίμηση του χρόνου διακοπής της παροχής δια¬ 
φόρων υπηρεσιών που σχετίζονται με πραγματοποιούμε¬ 
νες αλλαγές. 

(γ) Τον συντονισμό των αλλαγών που πραγματοποιού¬ 
νται στον τηλεπικοινωνιακό εξοπλισμό έτσι ώστε αλλαγές 
σε κάποιο στοιχείο του εξοπλισμού να μην επηρεάζουν / 
επιφέρουν αλλαγές σε άλλα στοιχεία του εξοπλισμού. 

(δ) Την ελαχιστοποίηση της πιθανότητας για εκδήλωση 
επισυνδέσεων και άλλων παρόμοιων απειλών εναντίον 
του τηλεπικοινωνιακού εξοπλισμού του παρόχου διαδι¬ 
κτύου. 

2. Η Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοι¬ 
νωνιακού Εξοπλισμού σε έναν πάροχο διαδικτύου περι¬ 
λαμβάνει κατ’ ελάχιστο: 

(α) Διαδικασίες για τη δοκιμή και την εγκατάσταση νέου 
τηλεπικοινωνιακού εξοπλισμού. 

(β) Διαδικασίες για την καταγραφή των αλλαγών που 
πραγματοποιούνται σε υπάρχοντα τηλεπικοινωνιακό εξο¬ 
πλισμό. 

(γ) Διαδικασίες για την ενημέρωση του παρόχου διαδι¬ 
κτύου αναφορικά με την πραγματοποίηση αλλαγών σε 
υπάρχοντα τηλεπικοινωνιακό εξοπλισμό. 

(δ) Διαδικασίες για το καθορισμό αρμοδιοτήτων ανα¬ 
φορικά με την διαχείριση και τη διαμόρφωση τηλεπικοι¬ 
νωνιακού εξοπλισμού. 


(ε) Διαδικασίες για την εξουσιοδότηση μελώντου προσωπι¬ 
κού του παρόχου διαδικτύου, τα οποία θα εφαρμόζουν την εν 
λόγω πολιτική συνολικά για όλες τις οργανικές μονάδες του 
παρόχου διαδικτύου ή/και ανά οργανική μονάδα ξεχωριστά. 

Άρθρο 8 

Εγκατάσταση Τηλεπικοινωνιακού Εξοπλισμού 

1. Ο τηλεπικοινωνιακός εξοπλισμός ενός παρόχου δια¬ 
δικτύου εγκαθίσταται εντός των ορίων της περιμέτρου 
του παρόχου διαδικτύου και σύμφωνα με τα όσα ορίζο¬ 
νται στην αντίστοιχη Πολιτική Ασφαλείας Περιμέτρου. 
Εξαιρούνται περιπτώσεις για τις οποίες τεκμηριώνεται 
απαίτηση για εγκατάσταση εκτός της περιμέτρου προκει- 
μένου να επιτευχθεί ορθή λειτουργία του εξοπλισμού 
ή/και των υπηρεσιών που βασίζονται στη λειτουργία του. 

2. Η εγκατάσταση του εξοπλισμού γίνεται σε δύο του¬ 
λάχιστον στάδια και περιλαμβάνει κατ’ ελάχιστο τα ακό¬ 
λουθα βήματα: 

Στάδιο Προετοιμασίας: 

(α) Ελέγχονται η πληρότητα και η έκταση της προσφε- 
ρόμενης τεκμηρίωσης αναφορικά με την εγκατάσταση, τη 
διαμόρφωση, τη χρήση και τη συντήρηση του εξοπλισμού 
δίνοντας έμφαση σε ότι αφορά στα χαρακτηριστικά ασφά- 
λειάς του και τις δυνατότητες προστασίας και άρσης του 
απορρήτου. Η τεκμηρίωση θα πρέπει να περιλαμβάνει ένα 
καλά καθορισμένο σύνολο από δοκιμές αποδοχής του 
εξοπλισμού. Εφόσον ο υπό εγκατάσταση εξοπλισμός πε¬ 
ριλαμβάνει λογισμικό το οποίο έχει αναπτυχθεί εσωτερικά 
τότε η τεκμηρίωση θα πρέπει να περιλαμβάνει ανάλυση / 
σχολιασμό σε επίπεδο πηγαίου κώδικα. 

(β) Εφόσον η εγκατάσταση εξοπλισμού περιλαμβάνει 
και εγκατάσταση λογισμικού τότε ελέγχεται η συμμόρ¬ 
φωση του λογισμικού με καθιερωμένα διεθνή πρότυπα ή 
διεθνώς διαδεδομένες πρακτικές. 

(γ) Αποτιμάται ο κίνδυνος, αναφορικά με την ορθή λει¬ 
τουργία του παρόχου διαδικτύου, που μπορεί να προκύψει 
από ενδεχόμενη δυσλειτουργία του υπό εγκατάσταση τη¬ 
λεπικοινωνιακού εξοπλισμού. Η αποτίμηση του κινδύνου 
περιλαμβάνει και την καταγραφή των αλληλεξαρτήσεων 
του υπό εγκατάσταση τηλεπικοινωνιακού εξοπλισμού με 
τα υπάρχοντα τμήματα του τηλεπικοινωνιακού εξοπλισμού 
που βρίσκονται σε λειτουργία στον πάροχο διαδικτύου. 
Επίσης η διαδικασία αποτίμησης του κινδύνου καθορίζει 
κατά πόσον οι δοκιμές αποδοχής του εξοπλισμού θα πρέ¬ 
πει να διεξαχθούν σε ξεχωριστό περιβάλλον δοκιμών ή όχι. 
Η αποτίμηση του κινδύνου γίνεται τόσο σε επίπεδο υλικού 
και λογισμικού όσο και σε επίπεδο δικτυακής επικοινωνίας. 

(δ) Στην περίπτωση αναβάθμισης λογισμικού αποτιμά- 
ται η εξάρτηση του εν λόγω λογισμικού από το λειτουργι¬ 
κό σύστημα που είναι εν χρήσει στο αντίστοιχο υλικό κα¬ 
θώς και από βιβλιοθήκες λογισμικού οι οποίες είναι τυχόν 
εν χρήσει στο αντίστοιχο υλικό. 

(ε) Καθορίζεται ποια χαρακτηριστικά του εξοπλισμού, 
που σχετίζονται με την ασφάλεια και τη διασφάλιση του 
απορρήτου, πρέπει να ενεργοποιηθούν και με ποιο τρόπο. 
Στάδιο Εγκατάστασης και Ελέγχου ΟρθήςΛειτουργίας: 
(στ) Ο εξοπλισμός εγκαθίσταται είτε στο ξεχωριστό πε¬ 
ριβάλλον δοκιμής είτε στο περιβάλλον παραγωγής του 
παρόχου διαδικτύου σύμφωνα με τη διαδικασία αποτίμη¬ 
σης κινδύνου. Ελέγχονται οι λειτουργίες του εξοπλισμού 
και διαπιστώνονται τυχόν προβλήματα. Τα προβλήματα 
συζητούνται με τον προμηθευτή του εξοπλισμού και γίνε¬ 
ται προσπάθεια επίλυσής τους. 
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(ζ) Εφόσον οι δοκιμές του υπό εγκατάσταση εξοπλι¬ 
σμού γίνονται σε συνεργασία με τηλεπικοινωνιακό εξο¬ 
πλισμό ο οποίος ευρίσκεται σε περιβάλλον παραγωγής 
τότε είναι επιθυμητό οι δοκιμές αυτές να λαμβάνουν χώ¬ 
ρα σε περιόδους χαμηλής τηλεπικοινωνιακής κίνησης 
(περιόδους μη αιχμής). Για την πραγματοποίηση των δο¬ 
κιμών θα πρέπει να χρησιμοποιούνται όπου αυτό είναι δυ¬ 
νατό, δοκιμαστικά δεδομένα. 

3. Οι ενέργειες που περιγράφονται στις παραγράφους 
1 και 2 του παρόντος Άρθρου πραγματοποιούνται από 
εξουσιοδοτημένο προσωπικό του παρόχου διαδικτύου, 
σύμφωνα με τις αρμοδιότητες που έχουν καθορισθεί από 
την Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοι¬ 
νωνιακού Εξοπλισμού. Σε περίπτωση σύμβασης υπεργο¬ 
λαβίας, η τελική ευθύνη της τήρησης της Πολιτικής Δια¬ 
χείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλι¬ 
σμού παραμένει στον πάροχο διαδικτύου. 

4. Το εξουσιοδοτημένο προσωπικό του παρόχου διαδικτύ¬ 
ου με αιτιολογημένη έκθεσή του προτείνει την αποδοχή ή 
απόρριψη του εξοπλισμού στις ενδιαφερόμενος μονάδες του 
παρόχου διαδικτύου. Ο Υπεύθυνος Ασφάλειας του παρόχου 
διαδικτύου λαμβάνει γνώση της εκθέσεως. Στην περίπτωση 
που στην έκθεση προτείνεται η αποδοχή του εξοπλισμού τό¬ 
τε αυτός τίθεται σε λειτουργία στο περιβάλλον παραγωγής. 

Άρθρο 9 

Διαχείριση Τηλεπικοινωνιακού Εξοπλισμού 

1. Η πρόσβαση στον εγκατεστημένο εξοπλισμό καθορί¬ 
ζεται απάτην ισχύουσα Πολιτική Ασφάλειας Περιμέτρου. 

2. Το εξουσιοδοτημένο προσωπικό του παρόχου διαδι¬ 
κτύου θα πρέπει να ενημερώνεται αναφορικά με κάθε 
πρόβλημα ασφάλειας ή/και αναθεώρησης υλικού και λο¬ 
γισμικού που σχετίζεται με την ασφάλεια του τηλεπικοι¬ 
νωνιακού εξοπλισμού το οποίο διαπιστώνεται από κατα¬ 
σκευαστή ή από έγκυρους οργανισμούς σχετιζόμενους 
με την ασφάλεια, να αξιολογεί άμεσα κάθε σχετική πλη¬ 
ροφορία αυτής της μορφής και, εφόσον διαπιστώνει ότι 
αφορά στον εξοπλισμό του παρόχου, να προβαίνει στις 
κατάλληλες αναβαθμίσεις. 

3. Κατά τη διαδικασία διευθυνσιοδότησης του τηλεπι¬ 
κοινωνιακού εξοπλισμού δεν θα πρέπει να ενθαρρύνεται 
η χρήση δημοσίως γνωστών δικτυακών αναγνωριστικών 
(ενδεικτικά αναφέρονται διευθύνσεις ΙΡ, άοείπαπίθε 
κ.λ.π.) εκτός από τις περιπτώσεις στις οποίες τεκμηριώ¬ 
νεται σχετική απαίτηση προκειμένου να επιτευχθεί ορθή 
λειτουργία του εξοπλισμού ή/καιτων υπηρεσιών που βα¬ 
σίζονται στη λειτουργία του. 

4. Κάθε διακομιστής που αποτελεί μέρος τηλεπικοινω¬ 
νιακού εξοπλισμού παρόχου θα πρέπει, κατά προτίμηση: 

(α) Να χρησιμοποιείται για την παροχή μίας μόνο υπη¬ 
ρεσίας, ώστε να ελαχιστοποιείται η πιθανότητα διαχειρι¬ 
στικών λαθών και να μειώνονται τα περιθώρια για παρα¬ 
βίαση της ασφάλειας του διακομιστή με εκδήλωση επι- 
συνδέσεων και άλλων αντίστοιχων απειλών. Η χρήση 
εξοπλισμού για περισσότερες από μία υπηρεσίες επιτρέ¬ 
πεται μόνο εφόσον ο κίνδυνος που προκύπτει από τέτοια 
κοινή χρήση έχει εξεταστεί από την διαδικασία αποτίμη¬ 
σης κινδύνου. Στην περίπτωση που ο διακομιστής χρησι¬ 
μοποιείται για την παροχή περισσότερων της μιας υπηρε¬ 
σιών, θα πρέπει να καταβάλλεται κάθε δυνατή προσπά¬ 
θεια για απενεργοποίηση υπηρεσιών που δεν 
χρησιμοποιούνται, ιδιαίτερα εφόσον οι εν λόγω υπηρε¬ 
σίες σχετίζονται με τη διαδικτυακή πρόσβαση. 


(β) Να μη χρησιμοποιείται ως σταθμός εργασίας. 

5. Σε κάθε δρομολογητή που αποτελεί μέρος τηλεπικοι¬ 
νωνιακού εξοπλισμού θα πρέπει, όποτε είναι εφικτό, να 
λαμβάνει χώρα: 

(α) Απενεργοποίηση υπηρεσιών που δεν χρησιμοποιού¬ 
νται. 

(β) Αποτίμηση των δικτυακών διευθύνσεων, θυρών και 
πρωτοκόλλων με βάση τα οποία δρομολογούνται δεδο¬ 
μένα από το δρομολογητή. 

(γ) Απενεργοποίηση της υπηρεσίας δρομολόγησης για 
δικτυακές διευθύνεις, θύρες και πρωτόκολλα που δεν πε¬ 
ριλαμβάνονται στην ως άνω αποτίμηση. 

6. Τυχόν διαχείριση τηλεπικοινωνιακού εξοπλισμού από 
απόσταση θα πρέπει να γίνεται μέσα από ασφαλείς διαύ¬ 
λους επικοινωνίας (ενδεικτικά αναφέρονται μισθωμένη 
γραμμή με κρυπτογράφηση, σύνδεση \/ΡΝ κλπ.). 

7. Ο χειρισμός των κωδικών ασφαλείας του τηλεπικοι¬ 
νωνιακού εξοπλισμού υπάγεται στην Πολιτική Κωδικών 
Ασφάλειας σύμφωνα με τον Κανονισμό για τη Διασφάλι¬ 
ση του Απορρήτου Εφαρμογών Διαδικτύου και Χρήστη. 

8. Η διαμόρφωση του τηλεπικοινωνιακού εξοπλισμού 
θα πρέπει να ενεργοποιείτις αντίστοιχες δυνατότητες κα¬ 
ταγραφής ώστε να καθίσταται εφικτή η άρση του απορ¬ 
ρήτου σύμφωνα με την κείμενη νομοθεσία. 

9. Σε περίπτωση που ο τηλεπικοινωνιακός εξοπλισμός 
παρέχει τη δυνατότητα υλοποίησης πολλαπλών επιπέ¬ 
δων δικαιωμάτων πρόσβασης σε πόρους και δεδομένα 
του, πέραν της χρήσης κωδικών ασφαλείας, η διαμόρφω¬ 
ση του εξοπλισμού θα πρέπει να αξιοποιεί αυτή τη δυνα¬ 
τότητα. Με τον τρόπο αυτό μειώνεται η πιθανότητα πα¬ 
ραβίασης της ασφαλείας και του απορρήτου είτε από τυ¬ 
χαία ενέργεια μη εξουσιοδοτημένου χρήστη ή από 
προσχεδιασμένη απειλή. 

10. Στον εξοπλισμό επιτρέπεται η εγκατάσταση λογι¬ 
σμικού μόνο από το εξουσιοδοτημένο προσωπικό και μό¬ 
νο για τους σκοπούς υποστήριξης του εξοπλισμού και 
των υπηρεσιών που προσφέρει. 

11. Στα πλαίσια της Πολιτικής Διαχείρισης και Εγκατά¬ 
στασης Τηλεπικοινωνιακού Εξοπλισμού το ειδικά εξου¬ 
σιοδοτημένο προσωπικό του παρόχου διαδικτύου κατα¬ 
γράφει σε μόνιμη βάση όλες τις πράξεις που σχετίζονται 
με εγκατάσταση, απεγκατάσταση, αναβάθμιση, αλλαγή 
διαμόρφωσης του τηλεπικοινωνιακού εξοπλισμού του 
παρόχου διαδικτύου. Η καταγραφή γίνεται εντύπως σε ει¬ 
δικό βιβλίο ή/και ηλεκτρονικά σε βάση δεδομένων του πα¬ 
ρόχου διαδικτύου. 

12. Με την ως άνω καταγραφή θα εξασφαλίζεται επίσης 
ότι στον τηλεπικοινωνιακό εξοπλισμό του παρόχου διαδι¬ 
κτύου δεν έχει εγκατασταθεί παράνομο ή επικίνδυνο λο¬ 
γισμικό. 

13. Πρόσβαση στην ως άνω καταγραφή έχει μόνο το 
εξουσιοδοτημένο προσωπικό του παρόχου. 

14. Η Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπι¬ 
κοινωνιακού Εξοπλισμού θα πρέπει να προβλέπει τη δια¬ 
τήρηση των παλαιών εκδόσεων του λογισμικού για ορι¬ 
σμένο χρονικό διάστημα με σκοπό την επαναφορά τους 
στα συστήματα του παρόχου διαδικτύου στην περίπτωση 
που διαπιστωθεί πρόβλημα λειτουργίας το οποίο οφείλε¬ 
ται σε εγκατάσταση νέας έκδοσης λογισμικού ή σε ανα¬ 
βάθμιση λογισμικού. Οι ακριβείς διαδικασίες διατήρησης 
και επαναφοράς των παλαιών εκδόσεων του λογισμικού 
ορίζονται κατά περίπτωση από τον κάθε πάροχο διαδι¬ 
κτύου. 
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15. Τα τμήματα του τηλεπικοινωνιακού εξοπλισμού του 
παρόχου διαδικτύου, τα οποία είναι δυνατό να τρωθούν 
από ιούς, θα πρέπει να προστατεύονται από κατάλληλο 
λογισμικό κατά των ιών. 

16. Η Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπι¬ 
κοινωνιακού Εξοπλισμού προβλέπει συγκεκριμένες ενέρ¬ 
γειες αναφορικά με την ασφάλεια και το απόρρητο κατά 
τη διαδικασία απεγκατάστασης τηλεπικοινωνιακού εξο¬ 
πλισμού του παρόχου διαδικτύου. Με τις ενέργειες αυτές 
θα πρέπει να διασφαλίζεται ότι η πληροφορία που έχει εγ¬ 
γράφει μόνιμα στον εν λόγω εξοπλισμό (π.χ. σε μνήμες 
ΒΟΜ, σκληρούς δίσκους, μαγνητικές ταινίες κλπ.) δια¬ 
γράφεται οριστικά και δεν μπορεί να χρησιμοποιηθεί από 
τρίτους προκειμένου να παραβιασθεί η ασφάλεια του πα¬ 
ρόχου διαδικτύου. 

ΚΕΦΑΛΑΙΟ IV 

ΠΟΛΙΤΙΚΗ ΑΝΤΙΓΡΑΦΩΝ ΑΣΦΑΛΕΙΑΣ 

Άρθρο 10 
Γ ενικά 

1. Η Πολιτική Αντιγράφων Ασφάλειας περιλαμβάνει τις 
διαδικασίες και τους ελέγχους που θα εξασφαλίσουν ότι 
ο τηλεπικοινωνιακός εξοπλισμός μπορεί να ανακτήσει τη 
λειτουργία εντός μιας λογικής χρονικής περιόδου μετά 
από οποιαδήποτε ζημιά που μπορεί να οφείλεται σε κακό¬ 
βουλες επιθέσεις στο δικτυακό εξοπλισμό. 

2.0 σκοπός της πολιτικής αυτής είναι να καθορίζει τους 
κανόνες και τις διαδικασίες αντιγράφων ασφάλειας και 
ανάκτησης δεδομένων για να αποτραπεί η απώλεια στοι¬ 
χείων στην περίπτωση διακοπής της λειτουργίας του συ¬ 
στήματος του παρόχου διαδικτύου. 

Άρθρο 11 
Περιεχόμενο 

1. Τα Αντίγραφα Ασφάλειας στην παρούσα πολιτική 
αναφέρονται στα δεδομένα διάρθρωσης των δικτυακών 
στοιχείων. 

2. Κάθε πάροχος διαδικτύου πρέπει να αναπτύξει και 
να συντηρήσει ένα σχέδιο για να μπορεί να ανταποκρί- 
νεται σε περιπτώσεις εκτάκτου ανάγκης του συστήμα¬ 
τος μετά από κακόβουλες επιθέσεις περιλαμβάνοντας 
την εκτέλεση αντιγράφων ασφαλείας, την παροχή διαδι¬ 
κασιών που μπορούν να χρησιμοποιηθούν για να διευ¬ 
κολύνουν τη συνέχιση της λειτουργίας σε περίπτωση 
ανάγκης και την ανάκτηση από μια επίθεση. Πιο συγκε¬ 
κριμένα: 

(α) Πρέπει να αναπτυχθεί και να τεκμηριωθεί μια διαδι¬ 
κασία ανάλυσης της ευαισθησίας, τωνευπαθειών, και της 
ασφάλειας των προγραμμάτων καιτωνπληροφοριώνπου 
λαμβάνουν, χειρίζονται, αποθηκεύουν, ή/και μεταδίδουν 
τα δικτυακά στοιχεία ώστε να προσδιοριστούντα στοιχεία 
για τα οποία θα πρέπει να αποθηκεύονται. 

(β) Η συχνότητα και η έκταση των αντιγράφων ασφαλεί¬ 
ας πρέπει να είναι σύμφωνα με τη σημασία των πληροφο¬ 
ριών και του αποδεκτού κινδύνου όπως καθορίζεται μετά 
από την αντίστοιχη ανάλυση. 

(γ) Ένα σχέδιο ανάκτησης δεδομένων πρέπει να τεκμη¬ 
ριωθεί και να ενημερώνεται σε τακτά χρονικά διαστήματα 
για να δημιουργήσει και να διατηρήσει, για μια συγκεκρι¬ 
μένη χρονική περίοδο, ανακτήσιμα ακριβή αντίγραφα των 
πληροφοριών. 


(δ) Ένα σχέδιο αποκατάστασης πρέπει να αναπτυχθεί 
και να τεκμηριωθεί, έτσι ώστε να επιτρέπει στον πάροχο 
διαδικτύου να αποκαταστήσει οποιαδήποτε απώλεια 
στοιχείων σε περίπτωση αποτυχίας του συστήματος και 
των δικτυακών πόρων μετά από κακόβουλη επίθεση. 

(ε) Ένα σχέδιο λειτουργίας τρόπου έκτακτης ανάγκης 
πρέπει να αναπτυχθεί και να τεκμηριωθεί, το οποίο να επι¬ 
τρέπει στον πάροχο διαδικτύου να συνεχίσει να λειτουρ¬ 
γεί σε περίπτωση αποτυχίας του συστήματος. 

(στ) Διαδικασίες δοκιμών και αναθεώρησης πρέπει να 
αναπτυχθούν και να τεκμηριωθούν, οι οποίες να απαιτούν 
την περιοδική δοκιμή των σχεδίων έκτακτης ανάγκης 
(οοηΐίηρθησγ ρΐαηε) για να ανακαλύψουν τυχόν αδυνα¬ 
μίες. 

(ζ) Στα αντίγραφα ασφαλείας πρέπει να διατίθεται το 
ίδιο επίπεδο προστασίας μετά αρχικά στοιχεία. 

(η) Τα εφεδρικά αντίγραφα ασφαλείας και οι διαδικα¬ 
σίες αντιγραφής θα πρέπει να εξετάζονται περιοδικά για 
να εξασφαλισθεί ότι είναι δυνατό να ανακτηθούν. 

Άρθρο 12 

Ασφάλεια Αντιγράφων Δικτυακών Στοιχείων 

1. Σε περίπτωση βλάβης κάποιας δικτυακής διάταξης, 
όπως δρομολογητές, μεταγωγείς (εννίΐσίτ), κόμβοι (άυό) 
και ίίΓθνναΙΙε ή ακόμα και σε περίπτωση κακόβουλης αλλα¬ 
γής της διάρθρωσης των διατάξεων αυτών, είναι απαραί¬ 
τητος ο επαναπρογραμματισμός των στοιχείων αυτών 
στην αρχική τους κατάσταση. Για αυτό το λόγο θα πρέπει 
διάφορα αρχείαπου προσδιορίζουν την κατάσταση και τη 
διάρθρωση των συσκευών αυτών να αντιγράφονται, και 
συγκεκριμένα: 

(α) Τα δεδομένα διάρθρωσης μιας δικτυακής διάταξης 
(λογισμικό συστήματος, αρχεία σύνθεσης του λογισμι¬ 
κού, αρχεία βάσεων δεδομένων, κλπ.) πρέπει να αντιγρά¬ 
φονται ημερησίως, εβδομαδιαίως και μηνιαίως, έτσι ώστε 
σε περίπτωση αποτυχίας του συστήματος, τα δεδομένα 
και τα αρχεία σύνθεσης του λογισμικού (οοηΐίρυΓαΙίοη 
ίίΐΘδ) να μπορούν να ανακτηθούν. 

(β) Τα εφεδρικά αντίγραφα πρέπει να αποθηκεύονται με 
ασφαλή τρόπο σε αρχεία μόνο αναγνώσιμα έτσι ώστε τα 
αποθηκευμένα δεδομένα να μηνεπεγγράφονται (ονθη/νπίθ) 
ακούσια καιπρέπει να κλειδώνονται ώστετα δεδομένα να εί¬ 
ναι προσβάσιμα μόνο σε εξουσιοδοτημένο προσωπικό. 

(γ) Μια λύση θα ήταν η ύπαρξη ενός εφεδρικού ΐίτανναΙΙ, 
που θα έχει την ίδια σύνθεση με το ΙίΓΘνναΙΙ που χρησιμο¬ 
ποιείται. Το ΙίΓΘνναΙΙ αυτό θα μπορούσε να τεθεί σε λει¬ 
τουργία σε περίπτωση βλάβης του αρχικού και να χρησι¬ 
μοποιείται ενώ το άλλο είναι υπό επισκευή. Τουλάχιστον 
ένα ΙίΓθνναΙΙ πρέπει να έχει διαρθρωθεί και να διαφυλάσ- 
σεται, ώστε σε περίπτωση αποτυχίας, αυτό το εφεδρικό 
ίίΓθνναΙΙ να μπορεί να χρησιμοποιηθεί για την προστασία 
του δικτύου. 

2. Σημαντικό για τον πάροχο διαδικτύου είναι επίσης η 
παροχή προστασίας στους διακομιστές του δίκτυου του 
και η ανάκτηση αρχείων στην περίπτωση απώλειας αυ¬ 
τών. Οι διαχειριστές δικτύων μπορεί να παρέχουν διάφο¬ 
ρες μεθόδους παροχής εφεδρικών αντιγράφων, όπως 
πλήρη, αυξητική και διαφορική αντιγραφή αρχείων. Μια 
διαφορετική μέθοδος αντιγραφής είναι η Δικτυακή Αντι¬ 
γραφή αρχείων, στην οποία κρυπτογραφημένα δεδομένα 
με αυτόματο και ασφαλή τρόπο αντιγράφονται και απο¬ 
θηκεύονται σε μια περιοχή εκτός του εσωτερικού δικτύου 
του παρόχου διαδικτύου. 
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ΚΕΦΑΛΑΙΟ V 

ΔΙΑΔΙΚΑΣΙΑ ΧΕΙΡΙΣΜΟΥ ΠΕΡΙΣΤΑΤΙΚΩΝ ΑΣΦΑΛΕΙΑΣ 

Άρθρο 13 
Γ ενικά 

1. Κάθε πάροχος διαδικτύου οφείλει να διαθέτει σαφή 
Διαδικασία Χειρισμού Περιστατικών Ασφάλειας (Δ.Χ.Π.Α) 
τα οποία απειλούν την ασφάλεια των επικοινωνιακών υπο¬ 
δομών αλλά και τη διασφάλιση του απορρήτου των επι¬ 
κοινωνιών που διεξάγονται μέσω του παρόχου. 

2. Σε κάθε περίπτωση όπου: 

(α) διαπιστώνεται κίνδυνος για την διασφάλιση του 
απορρήτου, 

(β) έχει καταγγελθεί παραβίαση απορρήτου, 

(γ) υπάρχουν σοβαρές υπόνοιες ότι δε διασφαλίζεται το 
απόρρητο των επικοινωνιών, 

ο πάροχος διαδικτύου οφείλει να ενεργοποιεί άμεσα 
την Δ.Χ.Π.Α. 

3. Στόχοι της διαδικασίας είναι να: 

(α) Καταγραφούν όλες οιλεπτομέρειεςτου περιστατικού. 

(β) Να ενημερωθούν οι αρμόδιοι (του παρόχου διαδικτύ¬ 
ου αλλά και φορείς όπως η ΑΔΑΕ) και οι χρήστες. 

(γ) Να διασφαλιστεί το δυνατόν συντομότερο το απόρρη¬ 
το. 

(δ) Να διερευνηθούν τα αίτια και να βρεθούν τα πιθανά 
σφάλματατου παρόχου διαδικτύου ή καιάλλωνπροσώπων. 

Άρθρο 14 
Περιεχόμενο 

1. Η Δ.Χ.Π.Α. πρέπει να περιέχει τουλάχιστον τα σημεία 
που περιγράφονται στο παρόν άρθρο. 


2. Πρέπει να ορίζεται ομάδα άμεσου χειρισμού του συμ¬ 
βάντος αποτελούμενη από εξειδικευμένους τεχνικούς αλ¬ 
λά και διοικητικά στελέχη. Τ α τεχνικά στελέχη έχουν την ευ¬ 
θύνη να επιβεβαιώσουν το συμβάν και να προβούν άμεσα 
στην αποκατάσταση του προβλήματος. Τα διοικητικά στε¬ 
λέχη φέρουν την ευθύνη αξιολόγησης και διαχείρισης του 
συμβάντος σε συνεργασία με τηντεχνική ομάδα. 

3. Κάθε συμβάν θα πρέπει να αναφέρεται ώστε να είναι 
δυνατή η άμεση αντιμετώπισή του. Για αυτό το λόγο θα 
πρέπει να οριστεί ένα ή περισσότερα άτομα στα οποία θα 
πρέπει να αναφέρεται άμεσα η εκδήλωση ενός περιστατι¬ 
κού ασφάλειας, από οποιοδήποτε μέλοςτου προσωπικού 
του παρόχου, όταν αυτό γίνεται αντιληπτό. Το άτομο ή τα 
άτομα αυτά θα πρέπει να γνωστοποιούνται σε όλο το προ¬ 
σωπικό, μαζί με πιθανούς τρόπους επικοινωνίας (τηλέ¬ 
φωνα, Ϊ3Χ, θΐτιαϊΙ ή ό,τι άλλο κρίνεται αναγκαίο). 

4. Κάθε συμβάν πρέπει να αξιολογείται και με βάση την 
αξιολόγησή του, κρίνεται ο τρόπος με τον οποίο πρέπει να 
αντιμετωπιστεί. Ανάλογα με την κρισιμότητα του περιστα¬ 
τικού ενεργοποιείται και η κατάλληλη διάταξη της Δ.Χ.Π.Α. 

5. Επίσης πρέπει να ορίζεται η επικοινωνιακή πολιτική 
για κάθε περίπτωση ανάλογου περιστατικού. Αναλόγως 
με την κρισιμότητα του συμβάντος ειδοποιούνται τα κα¬ 
τάλληλα στελέχη του παρόχου διαδικτύου. Σε περίπτωση 
κρίσιμου περιστατικού πρέπει να ειδοποιούνται σταδιακά 
υψηλόβαθμα στελέχη του παρόχου διαδικτύου, τα οποία 
φέρουν και την ευθύνη καταγγελίας του περιστατικού 
στους αρμόδιους φορείς και την ΑΔΑΕ. 

6. Ο παρακάτω πίνακας είναι ενδεικτικός για τον τρόπο 
με τον οποίο αντιμετωπίζονται αντίστοιχα συμβάντα με 
βάση την κρισιμότητά τους. 


Κρισιμότητα 

Ομάδα άμεσης επέμβασης 

Ενέργειες 

Επικοινωνιακή πολιτική 


Περιλαμβάνει στοιχεία 

Περιλαμβάνουν τόσο 

Περιλαμβάνει λίστα των 


επικοινωνίας, και ρόλο 

τεχνικές επιταγές και σχέδιο 

φορέων και ατόμων οι οποίοι 


του κάθε προσώπου 

αποκατάστασης του 
απορρήτου, όσο και 
διοικητικές ενέργειες. 

πρέπει να λάβουν γνώση του 
συμβάντος, καθώς και τη 
συχνότητα ενημέρωσης 
του κάθε φορέα ή προσώπου 

Κρίσιμη 

• Τεχνική 

• Τεχνική 

• Πάροχος Διαδικτύου 


• Διοικητική 

• Διοικητική 

• Φορείς 

Σοβαρή 

• Τεχνική 

• Τεχνική 

• Πάροχος Διαδικτύου 


• Διοικητική 

• Διοικητική 

• Φορείς 

Πιθανή 

• Τεχνική 

• Τεχνική 

• Πάροχος Διαδικτύου 


• Διοικητική 

• Διοικητική 

• Φορείς 

Ελάχιστη 

• Τεχνική 

• Τεχνική 

• Πάροχος Διαδικτύου 


• Διοικητική 

• Διοικητική 

• Φορείς 


7. Ο πάροχος διαδικτύου οφείλει να διατηρεί την 
Δ.Χ.Π.Α. ενημερωμένη με σωστά στοιχεία επικοινωνίας 
για όλους του εμπλεκόμενους. Τα στοιχεία των προσώ¬ 
πων και φορέων που πρέπει να ειδοποιηθούν άμεσα στην 
περίπτωση που διαπιστώνεται κάποιο συμβάν πρέπει να 
επαρκούν για την άμεση ειδοποίησή τους. 

8. Ακόμα, πρέπει να υπογραμμιστεί η αναγκαιότητα κα¬ 
ταγραφής όλωντωνενεργειώνπουεκτελέστηκαν από την 
τεχνική ομάδα, όλων των τεχνικών ευρημάτων, καθώς και 
όλων των επικοινωνιών κατά τη διάρκεια καταστολής του 
περιστατικού. Η καταγραφή των στοιχείων πρέπει να γί¬ 
νεται με τρόπο σαφή και σε ειδικά έντυπα τα οποία περι- 
γράφονται στην Δ.Χ.Π.Α. του παρόχου διαδικτύου. 


9. Επίσης ο πάροχος διαδικτύου πρέπει να ελέγχει σε 
τακτά χρονικά διαστήματα την ετοιμότητα ενεργοποίη¬ 
σης όλων τον μηχανισμών και προσώπων που περιγρά- 
φονται στην Δ.Χ.Π.Α. 

ΚΕΦΑΛΑΙΟ VI 

ΔΙΑΔΙΚΑΣΙΑ ΕΛΕΓΧΟΥ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΟΥ 

Άρθρο 15 
Γ ενικά 

1. Η διαδικασία ελέγχου ασφάλειας δικτύου πραγματο¬ 
ποιείται από την ομάδα ελέγχου ασφάλειας δικτύου του 
παρόχου διαδικτύου. Η ομάδα ελέγχου ασφάλειας δικτύ¬ 
ου θα χρησιμοποιήσει συγκεκριμένο λογισμικό ελέγχου 
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για τη διεξαγωγή ηλεκτρονικής ανίχνευσης των δικτύων 
ή/και των συστημάτων προστασίας επιθέσεων ή οποιου- 
δήποτε άλλου πληροφοριακού και δικτυακού συστήμα¬ 
τος στον πάροχο διαδικτύου. 

2. Ο έλεγχος ασφάλειας δικτύου πραγματοποιείται με 
σκοπό: 

(α) Την εξακρίβωση ότι διασφαλίζεται η ακεραιότητα, 
εμπιστευτικότητα και διαθεσιμότητα πληροφοριών και 
πόρων. 

(β) Την εξακρίβωση ότι διασφαλίζεται η συμφωνία των 
πιθανών περιστατικών που σχετίζονται με την ασφάλεια 
με την πολιτική ασφάλειας του παρόχου διαδικτύου. 

(γ) Την παρακολούθηση ενεργειών των χρηστών, των 
χρηστών παρόχου και του συστήματος όπου αυτό κρίνε- 
ται αναγκαίο, ύστερα από σχετική ενημέρωση του χρήστη 
ή χρήστη παρόχου. 

3. Η ομάδα ελέγχου ασφάλειας δικτύου επιτελείτη δια¬ 
δικασία ελέγχου ασφάλειας με τέτοιο τρόπο ώστε να μην 
εμποδίζεται η παροχή των υπηρεσιώντου παρόχου διαδι¬ 
κτύου προς τους χρήστες ή χρήστες παρόχου. 

4. Η ομάδα ελέγχου ασφάλειας δικτύου μπορεί να είναι 
εσωτερική, δηλαδή να απαρτίζεται από εργαζόμενους 
στονπάροχο διαδικτύου, ή εξωτερική, δηλαδή να απαρτί¬ 
ζεται από εξειδικευμένο προσωπικό άλλου φορέα, με τον 
οποίο συνάπτεταιη κατάλληλη συμφωνία. 

Άρθρο 16 

Υποχρεώσεις Παρόχου 

1. Κατά τη διαδικασία ελέγχου ασφάλειας δικτύου, ο 
πάροχος διαδικτύου επιτρέπει στην ομάδα ελέγχου 
ασφάλειας δικτύου την πρόσβαση στο δίκτυο και τα συ¬ 
στήματα προστασίας επιθέσεων, έως το επίπεδο το οποίο 
κρίνεται αναγκαίο ώστε να γίνει δυνατή η εκτέλεση των 
καθορισμένων ελέγχων. 

2. Ο πάροχος διαδικτύου παρέχει τα αναγκαία πρωτό¬ 
κολλα, τις δικτυακές συνδέσεις και τις πληροφορίες διευ- 
θυνσιοδότησης που είναι αναγκαία στην ομάδα ελέγχου 
ασφάλειας δικτύου για την εκτέλεση του λογισμικού 
ελέγχου και διάγνωσης του δικτύου. Η πρόσβαση αυτή 
μπορεί να συμπεριλαμβάνει: 

(α) Πρόσβαση επιπέδου χρήστη ή/και συστήματος σε 
οποιαδήποτε διάταξη υπολογιστή και επικοινωνίας. 

(β) Πρόσβαση σε πληροφορία (ηλεκτρονικής ή έντυπης 
μορφής) η οποία μπορεί να παραχθεί, μεταδοθεί ή απο¬ 
θηκευτεί σε εξοπλισμό ή σε εγκαταστάσεις οι οποίες ανή¬ 
κουν στον πάροχο διαδικτύου. Σε περίπτωση που η πλη¬ 
ροφορία αυτή αφορά κάποιον χρήστη ή χρήστη παρόχου, 
ο πάροχος οφείλει να ενημερώνειτο χρήστη ή χρήστη πα¬ 
ρόχου για τη διαδικασία αυτή. 

(γ) Πρόσβαση σε χώρους εργασίας (εργαστήρια, γρα¬ 
φεία, αποθηκευτικούς χώρους, κ.λ.π.) 

(δ) Πρόσβαση με σκοπό την ενεργή παρακολούθηση 
και καταγραφή κίνησης πάνω από τα δίκτυα του παρόχου 
διαδικτύου. 

Άρθρο 17 
Έλεγχος Δικτύου 

1. Η ομάδα ελέγχου ασφάλειας δικτύου πραγματοποιεί 
τον έλεγχο μόνο κατά τη διάρκεια των επιτρεπόμενων 
ημερομηνιών και ωραρίων που έχουν προσυμφωνηθεί με 
τον πάροχο διαδικτύου. 


2. Σε περίπτωση που ο πάροχος διαδικτύου δε διαθέτει 
τον πλήρη έλεγχο πάνω στα δίκτυά του, ή η πρόσβαση 
στις υπηρεσίες διαδικτύου παρέχεται μέσω άλλων παρο¬ 
χών διαδικτύου, οι τελευταίοι θα πρέπει να παράσχουν έγ¬ 
γραφη αποδοχή της διαδικασίας ελέγχου ασφάλειας δι¬ 
κτύου, κατά τη διάρκεια των προκαθορισμένων ημερομη¬ 
νιών και ωραρίων. 

3. Οι επιδόσεις ή/και η διαθεσιμότητα του δικτύου ενδέ¬ 
χεται να επηρεαστούν κατά τη διάρκεια των δοκιμών και 
των ελέγχων που θα πραγματοποιηθούν. Η ομάδα ελέγ¬ 
χου ασφάλειας δικτύου οφείλει να λαμβάνει άλατα δυνα¬ 
τά μέτρα ώστε να ελαχιστοποιούνται όσο είναι δυνατό τέ¬ 
τοιες επιδράσεις. Όμως, η ομάδα ελέγχου ασφάλειας δι¬ 
κτύου απαλλάσσεται από οποιαδήποτε ευθύνη σχετικά 
με ζημιές οι οποίες ενδέχεται να προκύψουν ως αποτέλε¬ 
σμα της μη διαθεσιμότητας του δικτύου η οποία μπορεί να 
προκληθεί από τις δοκιμές και τους ελέγχους που θα 
πραγματοποιηθούν, με εξαίρεση την περίπτωση που οι 
ζημιές αυτές είναι το αποτέλεσμα αμέλειας ή σκόπιμης 
κακόβουλης ενέργειας της ομάδας ελέγχου ασφάλειας 
δικτύου. 

Άρθρο 18 

Εφαρμογή 

1. Ο πάροχος διαδικτύου πραγματοποιεί διαδικασία 
ελέγχου ασφάλειας δικτύου είτε αυτόβουλα, σε τακτά 
χρονικά διαστήματα, είτε ύστερα από αιτιολογημένο αί¬ 
τημα της ΑΔΑΕ. 

ΚΕΦΑΛΑΙΟ VII 

ΔΙΑΔΙΚΑΣΙΑ ΑΠΟΤΙΜΗΣΗΣ ΚΙΝΔΥΝΩΝ 

Άρθρο 19 
Γ ενικά 

1. Ως Διαδικασία Αποτίμησης Κινδύνων ορίζεται η δια¬ 
δικασία εντοπισμού, ελέγχου και αξιολόγησης των τρω¬ 
τών σημείων και απειλών ασφαλείας των πληροφοριακών 
και δικτυακών συστημάτων του παρόχου διαδικτύου σε 
ότι αφορά στην εμπιστευτικότητα και ακεραιότητα των 
δεδομένων και τη διαθεσιμότητα των παρεχόμενων υπη¬ 
ρεσιών. 

2. Ειδικότερα για το τηλεπικοινωνιακό απόρρητο, η Δια¬ 
δικασία Αποτίμησης Κινδύνων εστιάζεται στις απειλές 
που σχετίζονται με την προστασία των δεδομένων επικοι¬ 
νωνίας των χρηστών των υπηρεσιών ηλεκτρονικών επι¬ 
κοινωνιών. 

3. Σκοπός της είναι να βοηθήσει τον πάροχο διαδικτύου 
να επιλέξει τις διαδικασίες και πρακτικές που ελαχιστο¬ 
ποιούν την πιθανότητα παραβίασης του απορρήτου επι¬ 
κοινωνιών των χρηστών καθώς και το κόστος εφαρμογής 
τους. 

Άρθρο 20 
Περιεχόμενο 

1. Ο πάροχος διαδικτύου οφείλει να συγκροτεί Ομάδα 
Αποτίμησης Κινδύνων, η οποία θα αναλαμβάνει να αναλύ¬ 
ει τους κινδύνους που υφίστανται για το απόρρητο επι¬ 
κοινωνιών των χρηστών. Συνιστάταιη Ομάδα να περιλαμ¬ 
βάνει τόσο τεχνικό προσωπικό (προγραμματιστές, μηχα¬ 
νικούς ασφαλείας κτλ) όσο και ανώτερα στελέχη, ώστε η 
αποτίμηση να είναι ολοκληρωμένη και να λαμβάνει υπόψη 
όλες τις αναγκαίες πτυχές. 
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2. Η Ομάδα Αποτίμησης Κινδύνων οφείλει να συνέρχε¬ 
ται τουλάχιστον μια φορά κάθε 12 μήνες και να συντάσσει 
την Αναφορά Αποτίμησης Κινδύνων σύμφωνα με το άρ¬ 
θρο 21 . Επιπλέον, συνιστάταιη ομάδα να συνέρχεται όπο- 
τε παρουσιάζεται κάποιο σημαντικό θέμα ασφαλείας, 
όπως νέες απειλές, αλλαγή/ανανέωση τηλεπικοινωνια¬ 
κού υλικού, ενεργοποίηση καινούργιας εφαρμογής λογι¬ 
σμικού, μεταξύ άλλων. 

3. Ο πάροχος διαδικτύου οφείλει να ορίζει Υπεύθυνο 
Αποτίμησης Κινδύνων. Συνιστάται να είναι στέλεχος του 
παρόχου διαδικτύου και να μην συμμετέχει στην Ομάδα 
Αποτίμησης Κινδύνων. Ο Υπεύθυνος Αποτίμησης Κινδύ¬ 
νων οφείλει: 

(α) Να ελέγχει την ποιότητα των εργασιών της Ομάδας 
Αποτίμησης Κινδύνων. 

(β) Να ελέγχει την Αναφορά Αποτίμησης Κινδύνων και 
να την παραδίδει εγκαίρως στον Υπεύθυνο Ασφάλειας 
του παρόχου διαδικτύου. 

4. Σε περίπτωση ανάθεσης του έργου σε τρίτο με σύμ¬ 
βασης υπεργολαβίας, η τελική ευθύνη της Διαδικασίας 
Αποτίμησης Κινδύνων παραμένει στον πάροχο διαδικτύ¬ 
ου. Τυχόν αμέλεια του Υπευθύνου Αποτίμησης Κινδύνων 
συνεπάγεται κυρώσεις κατά του ιδίου αλλά και κατά του 
παρόχου διαδικτύου, ο οποίος εν τέλει είναι υπεύθυνος 
για την διασφάλιση του απορρήτου. 

Άρθρο 21 

Αναφορά Αποτίμησης Κινδύνων 

1. Η Διαδικασία Αποτίμησης Κινδύνων οφείλει να περι¬ 
γράφει λεπτομερώς και να ακολουθεί κατ’ ελάχιστον τα 
παρακάτω βήματα: 

(α) Καταγραφή των Πόρων Δεδομένων Επικοινωνιών: 
πρόκειται για την πλήρη καταγραφή όλωντωνπόρωνπου 
χρησιμοποιούνται για την παρακολούθηση, αποθήκευση, 
επεξεργασία, εξαγωγή, διαβίβαση, ανακοίνωση και δημο¬ 
σιοποίηση δεδομένων επικοινωνίας. Συνιστάται επίσης η 
καταγραφή των μέτρων ασφαλείας που ισχύουν ήδη. 

(β) Κατηγοριοποίηση των Πόρων Δεδομένων Επικοινω¬ 
νιών: κάθε πόρος δεδομένων επικοινωνιών πρέπει να χα¬ 
ρακτηριστεί ως «κρίσιμος», «βασικός» ή «κανονικός» με 
κριτήριο τη σημασία ως προς το απόρρητο των δεδομέ¬ 
νων επικοινωνιών που διαχειρίζεται ο κάθε πόρος. 

(γ) Καταγραφή Ευπαθειών: για κάθε Πόρο Δεδομένων 
Επικοινωνιών πρέπει να καταγράφονται όλες οι ευπάθει¬ 
ες (αδυναμίες, ελαττώματα) που είναι δυνατόν να θέσουν 
σε κίνδυνο το απόρρητο επικοινωνιών των χρηστών. 

(δ) Κατηγοριοποίηση Ευπαθειών: κάθε ευπάθεια που 
καταγράφηκε στο προηγούμενο βήμα οφείλει να ορισθεί 
με σαφήνεια και να χαρακτηρισθεί ως «κρίσιμη», «σημα¬ 
ντική» ή «δευτερεύουσα» με κριτήριο το πόσο επικίνδυνη 
είναι για τη διατήρηση του απορρήτου επικοινωνιών των 
χρηστών. 

(ε) Καταγραφή Απειλών: για κάθε Πόρο Δεδομένων Επι¬ 
κοινωνιών πρέπει να καταγράφονται όλες οι απειλές που 
είναι δυνατόν να εκμεταλλευτούν μια ευπάθεια και να θέ¬ 
σουν σε κίνδυνοτο απόρρητο επικοινωνιών των χρηστών. 

(στ) Κατηγοριοποίηση Απειλών: κάθε απειλή που κατα- 
γράφηκε στο προηγούμενο βήμα οφείλει να ορισθεί με σα¬ 
φήνεια και να χαρακτηρισθεί ως «κρίσιμη», «σημαντική» ή 
«δευτερεύουσα» με κριτήριο το πόσο επικίνδυνη είναι για 
τη διατήρηση του απορρήτου επικοινωνιών των χρηστών. 
Πρέπει να λαμβάνονται υπόψη τόσο τα αποτελέσματα 
μιας τέτοιας απειλής καθώς και η πιθανότητα να συμβεί. 


(ζ) Ιεράρχηση Κινδύνου: πρόκειται για την ταξινόμηση 
όλων των συνδυασμών «Πόρος Δεδομένων Επικοινωνιών 
- Ευπάθεια - Απειλή» ως προς την κρισιμότητα του κινδύ¬ 
νου. Στο βήμα αυτό, οποιαδήποτε μεθοδολογία αποτίμη¬ 
σης και αν ακολουθείται, πρέπει να αναφέρεται ξεκάθαρα 
ποιοι συνδυασμοί παρουσιάζουν μεγαλύτερο κίνδυνο για 
τη διατήρηση του απορρήτου επικοινωνιών των χρηστών 
και ποιοι μικρότερο. 

(η) Προτάσεις Αντιμετώπισης Κινδύνου: για κάθε συν¬ 
δυασμό «Πόρος Δεδομένων Επικοινωνιών - Ευπάθεια - 
Απειλή» του προηγούμενου βήματος πρέπει να προτείνε- 
ται και να περιγράφεται λεπτομερώς τουλάχιστον μία λύ¬ 
ση. Η λύση αυτή είναι πιθανόν να αφορά είτε συγκεκριμέ¬ 
να τεχνικά βήματα είτε πολιτικές - διαδικασίες αντιμετώπι¬ 
σης του κινδύνου. Για κάθε λύση συνιστάται επίσης να 
καθορίζονται το σκεπτικό, τα προτερήματα και μειονεκτή- 
ματά της έναντι των άλλων λύσεων, το πιθανό κόστος και 
ο χρονικός ορίζοντας υλοποίησής της. Ιδιαίτερη προσοχή 
πρέπει να δίνεται στις περιπτώσεις υψηλού κινδύνου. 

(θ) Προτεινόμενη λύση: για κάθε συνδυασμό «Πόρος 
Δεδομένων Επικοινωνιών - Ευπάθεια - Απειλή» πρέπει να 
επιλέγεται μία λύση ανάμεσα σε αυτές που αναφέρθηκαν 
στο προηγούμενο βήμα (εφόσον οι λύσεις είναι περισσό¬ 
τερες από μία). Για αυτήν τη λύση πρέπει να αναφέρονται 
τόσο οι λόγοι που οδήγησαν στην επιλογή αυτή όσο και 
τον υπολειπόμενο κίνδυνο. 

2. Η Αναφορά Αποτίμησης Κινδύνων οφείλει επίσης να 
αναφέρει τα μέλη της Ομάδας Αποτίμησης Κινδύνων, τον 
Υπεύθυνο Αποτίμησης Κινδύνων και την ημερομηνία δη¬ 
μιουργίας της. 

ΚΕΦΑΛΑΙΟ VIII 
ΕΛΕΓΧΟΣ ΚΑΙ ΕΠΟΠΤΕΙΑ 

Άρθρο 22 
Γ ενικά 

1. Οι πολιτικές και οι διαδικασίες που ορίστηκαν στον 
κανονισμό αυτό αποτελούν μέρος της γενικότερης Πολι¬ 
τικής Ασφάλειας του παρόχου διαδικτύου, όπως αυτή 
ορίστηκε στον «Κανονισμό για την Διασφάλιση του Απορ¬ 
ρήτου στις Διαδικτυακάς Επικοινωνίες και τις συναφείς 
Υπηρεσίες και Εφαρμογές». 

2. Κατά συνέπεια, η ΑΔΑΕ στα πλαίσια ελέγχου και επο- 
πτείας που καθορίστηκαν στον «Κανονισμό για τη Δια¬ 
σφάλιση του Απορρήτου στις Διαδικτυακάς Επικοινωνίες 
και τις συναφείς Υπηρεσίες και Εφαρμογές», μπορεί ανά 
πάσα στιγμή να προβεί σε έλεγχο του καθορισμού, επιβο¬ 
λής και σωστής λειτουργίας των πολιτικών που ορίστηκαν 
στον παρόντα Κανονισμό. 

3. Σχετικά με τις λεπτομερείς διαδικασίες διενέργειας 
του ελέγχου καθώς καιτις προβλεπόμενες διοικητικές κυ¬ 
ρώσεις ισχύουν, κατ’ αναλογία, τα αναγραφόμενα στον 
«Κανονισμό για τη Διασφάλιση του Απορρήτου στις Δια¬ 
δικτυακάς Επικοινωνίες και τις συναφείς Υπηρεσίες και 
Εφαρμογές». 

Άρθρο 23 

Πολιτική Ασφάλειας Περιμέτρου 

1. Η ΑΔΑΕ μπορεί να διενεργεί αυτοψία για να διαπι¬ 
στώσει αν όντως ο πάροχος διαδικτύου εφαρμόζει Πολι¬ 
τική Ασφάλειας Περιμέτρου και ακολουθεί τις διαδικα¬ 
σίες που περιγράφονται στις αντίστοιχες διατάξεις του 
παρόντος. 
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2. Ο πάροχος διαδικτύου υποχρεούται να παραδίδει 
στα στελέχη της ΑΔΑΕ την πιο πρόσφατη Πολιτική Ασφά¬ 
λειας Περιμέτρου είτε κατά τη διάρκεια ελέγχου είτε κά¬ 
θε φορά που πραγματοποιείται κάποια σημαντική αλλαγή 
σε αυτή. Επιπρόσθετα, ο πάροχος διαδικτύου υποχρεού- 
ται περιοδικά να αποστέλλει στην ΑΔΑΕ τις τελευταίες 
Φόρμες Καταγραφής Επισυνδέσεων. 

3. Η ΑΔΑΕ μπορεί ανάπάσα στιγμή να τροποποιήσει τις 
διατάξεις που αφορούν στην Πολιτική Ασφάλειας Περι¬ 
μέτρου. Μετά από κάθε τέτοιου είδους τροποποίηση, ο 
πάροχος διαδικτύου οφείλει να προσαρμόζει την Πολιτι¬ 
κή Ασφάλειας Περιμέτρου αναλόγως, εντός της προθε¬ 
σμίας που θα ορίζεται από το κείμενο τροποποίησης. 

Άρθρο 24 

Πολιτική Διαχείρισης και Εγκατάστασης 
Τηλεπικοινωνιακού Εξοπλισμού 

1. Το εξουσιοδοτημένο προσωπικό του παρόχου διαδι¬ 
κτύου διενεργεί περιοδικούς ελέγχους προκειμένου να 
διαπιστώσει κατά πόσοντηρείται η Πολιτικής Διαχείρισης 
και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού στις 
διάφορες οργανικές μονάδες του παρόχου διαδικτύου. 
Σε όσες περιπτώσεις είναι δυνατό θα πρέπει να γίνεται 
χρήση αυτοματοποιημένωνεργαλείωντα οποίαπ.χ. συλ¬ 
λέγουν και αναλύουν δεδομένα από αρχεία καταγραφής 
ή/και πραγματοποιούν εικονικές επιθέσεις στον εξοπλι¬ 
σμό του παρόχου διαδικτύου για διαπίστωση πιθανών κε¬ 
νών ασφαλείας. Η διαδικασία των περιοδικών ελέγχων θα 
πρέπει να έχει σχεδιαστεί με τέτοιο τρόπο έτσι ώστε να τε¬ 
λεί υπό την άμεση εποπτεία του Υπεύθυνου Ασφάλειας 
του παρόχου διαδικτύου. 

2. Η ΑΔΑΕ διενεργεί αυτοψία για να διαπιστώσει αν 
όντως ο πάροχος διαδικτύου διατηρεί και εφαρμόζει 
επαρκή και ενημερωμένη Πολιτική Διαχείρισης και Εγκα¬ 
τάστασης Τηλεπικοινωνιακού Εξοπλισμού, η οποία συμ¬ 
φωνεί με τις διαδικασίες που περιγράφονται στις αντί¬ 
στοιχες διατάξεις του παρόντος. 

3. Ο υπό έλεγχο πάροχος διαδικτύου οφείλει να παρα- 
δώσει στα στελέχη της ΑΔΑΕ την εν ενεργεία Πολιτική Δια¬ 
χείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλι¬ 
σμού καθώς και να παρέχει πρόσβαση στην έντυπη ή/και 
ηλεκτρονική καταγραφή των πράξεων που σχετίζονται με 
εγκατάσταση, απεγκατάσταση, αναβάθμιση, αλλαγή δια¬ 
μόρφωσης του τηλεπικοινωνιακού εξοπλισμού του. 

4. Η ΑΔΑΕ μπορεί ανά πάσα στιγμή να τροποποιήσει τις 
διατάξεις που αφορούν στην Πολιτική Διαχείρισης και 
Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού. Μετά από 
κάθε τέτοιου είδους τροποποίηση, ο πάροχος διαδικτύου 
οφείλει να προσαρμόζειτην Πολιτική Διαχείρισης και Εγκα¬ 
τάστασης Τηλεπικοινωνιακού Εξοπλισμού αναλόγως. 

Άρθρο 25 

Πολιτική Αντιγράφων Ασφάλειας 

1. Η ΑΔΑΕ μπορεί να διενεργεί αυτοψία για να διαπι¬ 
στώσει αν όντως ο πάροχος διαδικτύου εφαρμόζει την 
Πολιτική Αντιγράφων Ασφάλειας και ακολουθεί τις διαδι¬ 
κασίες που περιγράφονται στις αντίστοιχες διατάξεις του 
παρόντος. 

2. Ο πάροχος διαδικτύου υποχρεούται να παραδίδει 
στα στελέχη της ΑΔΑΕ την πιο πρόσφατη Πολιτική Αντι¬ 
γράφων Ασφάλειας είτε κατά τη διάρκεια ελέγχου είτε κά¬ 
θε φορά που πραγματοποιείται κάποια σημαντική αλλαγή 
σε αυτή. 


3. Η ΑΔΑΕ μπορεί ανά πάσα στιγμή να τροποποιήσει τις 
διατάξεις που αφορούν στην Πολιτική Αντιγράφων Ασφά¬ 
λειας. Μετά από κάθε τέτοιου είδους τροποποίηση, ο πά¬ 
ροχος διαδικτύου οφείλει να προσαρμόζει την Πολιτική 
Αντιγράφων Ασφάλειας αναλόγως, εντός της προθε¬ 
σμίας που θα ορίζεται από το κείμενο τροποποίησης. 

Άρθρο 26 

Διαδικασία Χειρισμού Περιστατικών Ασφάλειας 

1. Η ΑΔΑΕ μπορεί να διενεργεί αυτοψία για να διαπι¬ 
στώσει αν όντως ο πάροχος διαδικτύου διατηρεί επαρκή 
και ενημερωμένη Δ.Χ.Π.Α. η οποία συμφωνεί με τις διαδι¬ 
κασίες που περιγράφονται στις αντίστοιχες διατάξεις του 
παρόντος. 

2. Ο υπό έλεγχο πάροχος διαδικτύου οφείλει να παρα- 
δώσει στα στελέχη της ΑΔΑΕ την τελευταία Δ.Χ.Π.Α. Η 
ΑΔΑΕ μπορεί επιπλέον να ζητήσει την ενεργοποίηση της 
διαδικασίας είτε για να διαπιστώσει την ετοιμότητα του πα¬ 
ρόχου είτε για να διερευνήσει καταγγελθέντα περιστατικά. 

3. Η ΑΔΑΕ μπορεί ανά πάσα στιγμή να τροποποιήσει τις 
διατάξεις που αφορούν στην Δ.Χ.Π.Α.. Μετά από κάθε τέ¬ 
τοιου είδουςτροποποίηση, ο πάροχος διαδικτύου οφείλει 
να προσαρμόζει τη Δ.Χ.Π.Α. αναλόγως. 

Άρθρο 27 

Διαδικασία Ελέγχου Ασφάλειας Δικτύου 

1. Κατά τη διάρκεια ελέγχου ασφάλειας δικτύου, η 
ΑΔΑΕ μπορεί να διενεργήσει αυτοψία για να διαπιστώσει 
αν όντως τηρούνται οι διαδικασίες ελέγχου ασφάλειας δι¬ 
κτύου, και αν ο πάροχος διαδικτύου εφαρμόζει τις διαδι¬ 
κασίες που περιγράφονται στις αντίστοιχες διατάξεις του 
παρόντος. 

2. Κατά τη διάρκεια ελέγχου ασφάλειας δικτύου, οι 
εμπλεκόμενοι φορείς στη διαδικασία ελέγχου ασφάλειας 
δικτύου, οφείλουν να ενημερώσουν άμεσα την ΑΔΑΕ για 
οποιεσδήποτε αποκλίσεις ή παραβιάσεις της διαδικασίας 
ελέγχου ασφάλειας δικτύου. 

3. Η ΑΔΑΕ μπορεί ανά πάσα στιγμή να τροποποιήσει τις 
διατάξεις που αφορούν τη διαδικασία ελέγχου ασφάλει¬ 
ας δικτύου. Μετά από κάθε τέτοιου είδουςτροποποίηση, 
η πραγματοποίηση οποιουδήποτε νέου ελέγχου ασφά¬ 
λειας δικτύου, οφείλει να είναι σύμφωνη με το νέο τροπο¬ 
ποιημένο Κανονισμό. 

Άρθρο 28 

Διαδικασία Αποτίμησης Κινδύνων 

1. Η ΑΔΑΕ μπορεί να διενεργεί αυτοψία για να διαπι¬ 
στώσει αν όντως ο πάροχος διαδικτύου εφαρμόζει Διαδι¬ 
κασία Αποτίμησης Κινδύνων και ακολουθεί τις διαδικα¬ 
σίες που περιγράφονται στις αντίστοιχες διατάξεις του 
παρόντος. 

2. Ο υπό έλεγχο πάροχος διαδικτύου οφείλει να παρα- 
δώσει στα στελέχη της ΑΔΑΕ την τελευταία Αναφορά 
Αποτίμησης Κινδύνων η οποία οφείλει να είναι ενημερω¬ 
μένη και σύμφωνη με την υπάρχουσα κατάσταση σε ότι 
αφορά στους κινδύνους παραβίασης του απορρήτου επι¬ 
κοινωνιών των χρηστών. 

3. Η ΑΔΑΕ μπορεί ανά πάσα στιγμή να τροποποιήσει τις 
διατάξεις που αφορούν στην Διαδικασία Αποτίμησης Κιν¬ 
δύνων. Μετά από κάθε τέτοιου είδουςτροποποίηση, ο πά¬ 
ροχος διαδικτύου οφείλει να προσαρμόζει τη Διαδικασία 
Αποτίμησης Κινδύνων αναλόγως και να συγκαλεί την 
Ομάδα Αποτίμησης Κινδύνων εντός της προθεσμίας που 
θα ορίζεται από το κείμενο τροποποίησης. 
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ΚΕΦΑΛΑΙΟ IX 

ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ 

Άρθρο 29 

Μεταβατικές Διατάξεις 
1. Όλοι οι πάροχοι διαδικτύου υποχρεούνται: 

(α) Να ενημερώσουν ως προς την εφαρμοζόμενη πολι¬ 
τική ασφάλειας την ΑΔΑΕ εντός έξι (6) μηνών από τη δη¬ 
μοσίευση του παρόντος. 

(β) Να εφαρμόζουν την εγκριθείσα από την ΑΔΑΕ πολι¬ 
τική ασφάλειας εντός ενός (1) έτους από την έγκρισή της. 

ΚΕΦΑΛΑΙΟ X 
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ 

Άρθρο 30 
Έναρξη Ισχύος 

1. Ο παρών Κανονισμός τίθεται σε ισχύ από την ημερο¬ 
μηνία δημοσίευσής του στην Εφημερίδα της Κυβερνήσε- 
ως. 

Ο παρών Κανονισμός να δημοσιευθεί στην Εφημερίδα 
της Κυβερνήσεως. 

Αθήνα,14 Ιανουάριου 2005 

Ο Πρόεδρος 

ΑΝΔΡΕΑΣ ΛΑΜΠΡΙΝΟΠΟΥΛΟΣ 

-♦- 

Αριθ. 634 α (3) 

Κανονισμός για τη Διασφάλιση του Απορρήτου Εφαρμο¬ 
γών και Χρήστη Διαδικτύου. 

Η ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ 
ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΕΑ) 

Έχοντας υπόψη: 

α. Το Ν. 3115/27-02-2003, άρθρο 1, παραγρ. 1, 
β. Το Ν. 3115/27-02-2003, άρθρο 6, παραγρ. 1 
γ. Ότι εκ της αποφάσεως δεν προκύπτει δαπάνη για το 
δημόσιο 

δ. Τη σχετική εισήγηση της Υπηρεσίας, αποφάσισε: 
κατά τη συνεδρίασή της την 10η Νοεμβρίου 2004, την 
έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση 
του Απορρήτου Εφαρμογών και Χρήστη Διαδικτύου. 

ΚΕΦΑΛΑΙΟ I 
ΣΚΟΠΟΣ-ΟΡΙΣΜΟΙ 

Άρθρο 1 

Σκοπός - Πεδίο Εφαρμογής 

1. Σκοπός του παρόντος Κανονισμού είναι: 

(α) Η διασφάλιση του απορρήτου των εφαρμογών στο 
Διαδίκτυο και των χρηστών τους. 

(β) Η ασφάλεια των παροχών υπηρεσίας εφαρμογής ως 
προς τις προσφερόμενες υπηρεσίες και εφαρμογές. 

(γ) Η θέσπιση των υποχρεώσεων των εν λόγω παροχών 
αναφορικά με την ασφάλεια και το απόρρητο των εφαρ¬ 
μογών Διαδικτύου και των χρηστών. 

(δ) Ο έλεγχος στους εν λόγω παρόχους σχετικά με τις 
ανωτέρω αναφερόμενες υποχρεώσεις τους. 

2. Στις διατάξεις του παρόντος Κανονισμού εμπίπτουν 
όλοι οι Τηλεπικοινωνιακοί Φορείς Διαδικτύου και οι Δημό¬ 
σιοι Οργανισμοί και ιδιαίτερα: 


(α) Πάροχοι σταθερής και κινητής πρόσβασης στο Δια¬ 
δίκτυο 

(β) Πάροχοι Διαδικτυακών υπηρεσιών, υπηρεσιών προ¬ 
στιθέμενης αξίας και υπηρεσίας εφαρμογών. 

Άρθρο 2 
Ορισμοί 

Γιατην εφαρμογή του παρόντος Κανονισμού ισχύουν οι 
ορισμοί του «Κανονισμού για την Διασφάλιση του Απορ¬ 
ρήτου στις Διαδικτυακάς Επικοινωνίες και τις συναφείς 
Υπηρεσίες και Εφαρμογές» της ΑΔΑΕ, που επαναλαμβά¬ 
νονται για πληρότητα. Επιπρόσθετα, οι ακόλουθοι όροι 
έχουν την έννοια που τους αποδίδεται κατωτέρω: 

Ασύμμετρη Κρυπτογραφία - στηρίζεται στη χρήση ενός 
ζευγαριού κλειδιών, ενός ιδιωτικού και ενός δημόσιου. 
Όταν η κρυπτογράφηση γίνεται με το ένα κλειδί, η απο¬ 
κρυπτογράφηση γίνεται με το άλλο. Είναι γνωστή και ως 
Κρυπτογραφία Δημόσιου Κλειδιού. 

Ακεραιότητα - είναι ιδιότητα της διαδικασίας ασφάλειας 
με την οποία ελέγχεται αν τα δεδομένα έχουν τροποποιη¬ 
θεί ή καταστραφεί κατά μη εξουσιοδοτημένο τρόπο. 

Δεδομένα Θέσης - τα δεδομένα που υποβάλλονται σε 
επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών και 
που υποδεικνύουν τη γεωγραφική θέση του τερματικού 
εξοπλισμού του χρήστη μιας διαθέσιμης στο κοινό υπη¬ 
ρεσίας ηλεκτρονικών επικοινωνιών. 

Δεδομένα Κίνησης - τα δεδομένα που υποβάλλονται σε 
επεξεργασία για τους σκοπούς της διαβίβασης μιας επι¬ 
κοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της 
χρέωσήςτης. 

Διαδικτυακάς Επικοινωνίες - Υπηρεσίες ηλεκτρονικών 
επικοινωνιών όπου το δίκτυο ηλεκτρονικών επικοινωνιών 
είναι δίκτυο μετάδοσης δεδομένων και φωνής με πακετο- 
μεταγωγή το οποίο είτε έχει τη μορφή ενδοδικτύου (Ιη- 
1γ3πθΙ) είτε είναι ολόκληρο το Διαδίκτυο (ΙπϊθγπθΙ). 

Δίκτυο Ηλεκτρονικών Επικοινωνιών - τα συστήματα με¬ 
τάδοσης και, κατά περίπτωση, ο εξοπλισμός μεταγωγής 
ή δρομολόγησης και οι λοιποί πόροι που επιτρέπουν τη 
μεταφορά σημάτων, με τη χρήση καλωδίου, ραδιοσημά- 
των, οπτικού ή άλλου ηλεκτρομαγνητικού μέσου, συμπε¬ 
ριλαμβανομένων των δορυφορικών δικτύων, των σταθε¬ 
ρών (μεταγωγής δεδομένων μέσω κυκλωμάτων καιπακε- 
τομεταγωγής, συμπεριλαμβανομένου του Διαδικτύου) 
και κινητών επίγειων δικτύων, των συστημάτων ηλεκτρι¬ 
κών καλωδίων, εφόσον χρησιμοποιούνται για τη μετάδο¬ 
ση σημάτων, των δικτύων που χρησιμοποιούνται για ρα¬ 
διοτηλεοπτικές εκπομπές, καθώς και των δικτύων καλω¬ 
διακής τηλεόρασης, ανεξάρτητα από το είδος των 
μεταφερόμενων πληροφοριών. 

Εμπιστευτικότητα - η ιδιότητα της διαδικασίας ασφά¬ 
λειας με την οποία αποτρέπεται η διάθεση ή η αποκάλυ¬ 
ψη πληροφοριών σε μη εξουσιοδοτημένα άτομα, οντότη¬ 
τες ή διεργασίες. 

Εξουσιοδότηση - η διαδικασία χορήγησης δικαιώματος 
πρόσβασης ή χρήσης μιας υπηρεσίας ή πληροφοριών, με 
βάση την έγκυρη ταυτότητα. Η εξουσιοδότηση χορηγεί¬ 
ται από την οντότητα που ελέγχει τον πόρο για τον οποίο 
ζητάτε η πρόσβαση. 

Επαλήθευση Ταυτότητας (ΑυΙύθηΙΙοαΙίοη) - αναφέρεται 
στις αυτοματοποιημένες και τυποποιημένες μεθόδους 
για την πιστοποίηση της ταυτότητας του χρήστη στο Δια¬ 
δίκτυο. Αναφέρεται και ως αυθεντικοποίηση. 
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Ιός (νίΓυε) - Ως ιός περιγράφεται ένα κομμάτι κώδικα λο¬ 
γισμικού το οποίο εισβάλλει σε ένα υπολογιστικό σύστη¬ 
μα με σκοπό να προκαλέσει ανεπιθύμητα αποτελέσματα, 
όπως καταστροφή δεδομένων χρήστη, άρνηση υπηρε¬ 
σίας (όθηϊαΙ-οΐ-εθΓνϊοθ) , παραβίαση του συστήματος 
ασφαλείας του συστήματος κτλ. Κύριο χαρακτηριστικό 
του είναι το γεγονός ότι μεταδίδεται μεταξύ των υπολογι¬ 
στικών συστημάτων με τη μορφή εκτελέσιμων προγραμ¬ 
μάτων (θΧθουΙαόΐΘδ), εγγραφών συστήματος (εγείθπι ογ 
όοοί ΐ'Θοοί'άε) και μακρο-εντολών (γπηογοξ) . Οι ιοί είναι δυ¬ 
νατόν να επιτεθούν κατά προσωπικών υπολογιστών, 
5ΘΓνΘΓ5, ΓΟυίθΓδ Κτλ. 

Κλειδί Κρυπτογράφησης - μια σειρά από όίΐε συγκεκρι¬ 
μένου μήκους που χρησιμοποιείται για να κρυπτογραφή¬ 
σει ή να αποκρυπτογραφήσει τα δεδομένα σε έναν αλγό¬ 
ριθμο κρυπτογράφησης. 

Λογισμικό Προστασίας από Ιούς (3ηΙί-νίΓυ5 εοΐίνναΓΘ) - 
Πρόκειται για μια κατηγορία εφαρμογών λογισμικού που 
αποσκοπεί στην ανίχνευση και απομάκρυνση ιών που 
έχουν προσβάλλει ένα υπολογιστικό σύστημα. 

Μη Αποποίηση Ευθύνης - εξασφαλίζει ότι οι συναλλασ¬ 
σόμενοι σε εφαρμογές και υπηρεσίες Διαδικτύου που 
προσφέρονται είτε από πάροχους διαδικτύου είτε από 
πάροχους υπηρεσίας εφαρμογής δεν μπορούν να αρνη- 
θούντη συμμετοχή τους στη συναλλαγή. 

Παροχή Δικτύου Διαδικτυακών Επικοινωνιών - η σύστα¬ 
ση, η λειτουργία, ο έλεγχος και η διάθεση τέτοιου δικτύ¬ 
ου. 

Πάροχος Δικτύου Διαδικτυακών Επικοινωνιών (ΙπϊθγπθΙ 
ΒθΓνϊοθ ΡΓονίάθΓ) - Η επιχείρηση ή το νομικό πρόσωπο που 
παρέχει δίκτυο διαδικτυακών επικοινωνιών ή/και το νομι¬ 
κό πρόσωπο που παρέχει στο προσωπικό του την απα¬ 
ραίτητη δικτυακή υποδομή για χρήση διαδικτυακών επι¬ 
κοινωνιών στα πλαίσια της εργασίας του. Για τις ανάγκες 
του παρόντος ο πάροχος δικτύου διαδικτυακών επικοι¬ 
νωνιών θα αναφέρεται στη συνέχεια του κειμένου ως «πά¬ 
ροχος διαδικτύου». 

Πάροχος Υπηρεσίας Εφαρμογής (ΑρρΙίοβΙίοπ δθΓνίοθ 
ΡΓονίάθή - μία οντότητα (οργανισμός, εταιρεία κτλ), η 
οποία διαθέτει εφαρμογές λογισμικού (εοΐΙνναΓθ), υλική 
υποδομή (ό3Γά\Λ/3Γθ) και δικτυακή υποδομή, προκειμένου 
να παρέχει υπηρεσίες και εφαρμογές στον πάροχο δικτύ¬ 
ου διαδικτυακών επικοινωνιών και τους χρήστες του. 

Πολιτική ασφάλειας - Το σύνολο τεχνικών, οργανωτι¬ 
κών και κανονιστικών μέτρων, τα οποία εφαρμόζονται 
από πάροχο διαδικτύου και αποβλέπουν στη διασφάλιση 
του απορρήτου και γενικά στην ασφαλή λειτουργία των 
δικτύων διαδικτυακών επικοινωνιών. 

Προσδιορισμός ταυτότητας - αναφέρεται σε λιγότερο 
τυποποιημένες μεθόδους (σε σχέση με τη διαδικασία 
επαλήθευσης ταυτότητας) για την πιστοποίηση της φύ¬ 
σης του χρήστη, που είναι συνήθως μη αυτόματες και 
απαιτούν ανθρώπινη παρέμβαση. 

Προστασία του απορρήτου - η απαγόρευση της ακρόα¬ 
σης, της παγίδευσης, της αποθήκευσης, της επεξεργα¬ 
σίας, της ανακοίνωσης, της δημοσιοποίησης ή άλλου τύ¬ 
που υποκλοπής ή παρακολούθησης της τηλεπικοινωνίας 
και των δεδομένων επικοινωνίας από άλλα πρόσωπα, χω¬ 
ρίς τη συγκατάθεσή τους, εξαιρουμένων των νόμιμα 
εξουσιοδοτημένων. 

Συγκατάθεση του Χρήστη ή του Συνδρομητή - η συγκα¬ 
τάθεση του προσώπου που αφορούν τα δεδομένα, κατά 
την έννοια της οδηγίας 95/46/ΕΚ. 


Συμμετρική Κρυπτογραφία - η κρυπτογράφηση και 
αποκρυπτογράφηση πραγματοποιούνται με ένα κλειδί. 

Ταυτότητα - είναι οι πληροφορίες που προσδιορίζουν 
το χρήστη με μοναδικό τρόπο. 

Υπεργολάβος - όπως αυτός ορίζεται από την υπάρχου- 
σα νομοθεσία. 

Υπηρεσία Προστιθέμενης Αξίας - υπηρεσία μη τηλεπι¬ 
κοινωνιακή η οποία μπορεί να παρέχεται ή να υποστηρί¬ 
ζεται από δίκτυο διαδικτυακών επικοινωνιών. 

Υπηρεσίες Ηλεκτρονικών Επικοινωνιών - οι υπηρεσίες 
που παρέχονται συνήθως έναντι αμοιβής και των οποίων 
η παροχή συνίσταται, εν όλω ή εν μέρει, στη μεταφορά 
σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών, συμπερι¬ 
λαμβανομένων των υπηρεσιών τηλεπικοινωνιών και των 
υπηρεσιών μετάδοσης σε δίκτυα που χρησιμοποιούνται 
για ραδιοτηλεοπτικές μεταδόσεις. Στις υπηρεσίες ηλε¬ 
κτρονικών επικοινωνιών δεν περιλαμβάνονται υπηρεσίες 
παροχής ή ελέγχου περιεχομένου που μεταδίδεται μέσω 
δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και 
υπηρεσίες της κοινωνίας της πληροφορίας, όπως αυτές 
ορίζονται στην παράγραφο 2 του άρθρου 2 του 
ΠΔ39/2001 (Α’28), και που δεν αφορούν, εν όλω ή εν μέ- 
ρει, τη μεταφορά σημάτων σε δίκτυα επικοινωνιών. 

Χρήστης: κάθε φυσικό πρόσωπο που χρησιμοποιεί δια¬ 
θέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, 
για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να 
είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας. 

Χρήστης Παρόχου: κάθε φυσικό πρόσωπο που εργάζεται 
στην επιχείρηση ή το νομικό πρόσωπο που παρέχει στο προ¬ 
σωπικό του την απαραίτητη δικτυακή υποδομή για χρήση 
διαδικτυακών επικοινωνιών στα πλαίσια της εργασίας του. 

ΚΕΦΑΛΑΙΟ II 

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΤΗ ΔΙΑΔΙΚΤΥΟΥ 
Άρθρο 3 

Σκοπός, Κανόνες και Συνθήκες 

1. Ο σκοπός της πολιτικής ασφάλειας χρήστη Διαδικτύ¬ 
ου είναι να ορίσει τους κανόνες και τις απαιτήσεις ασφά¬ 
λειας για τη χρήση του Διαδικτύου ως ασφαλές μέσο για 
τη μετάδοση ευαίσθητων πληροφοριών και να διασφαλί¬ 
σει την χρήση του. 

2. Οι πιο κάτω κανόνες και συνθήκες αφορούν όλους 
τους χρήστες που χρησιμοποιούν το Διαδίκτυο ή έχουν 
κάποιο σημείο προσαρμογής σε αυτό, με σκοπό τη μετά¬ 
δοση πληροφοριών. Η πολιτική αυτή δεν καλύπτει την 
προστασία υποδομών τοπικών δεδομένων ή τοπικών δι¬ 
κτύων (Ι_ΑΝ κτλ). 

3. Μια ολοκληρωμένη υλοποίηση Διαδικτυακής επικοι¬ 
νωνίας θα πρέπει να περιλαμβάνει επαρκείς μεθόδους 
κρυπτογράφησης (θηοΓγρΙίοη), χρησιμοποίηση επαλή¬ 
θευσης ή προσδιορισμού ταυτότητας (3υ1ύθη1ίθ3ΐίοη ογ 
ίάθπΙίίίθ3ΐίοη) από τους χρήστες και ένα σχέδιο διαχείρι¬ 
σης που θα ενσωματώνει αποδοτικές μεθόδους διαχείρι¬ 
σης κλειδιών και κωδικών πρόσβασης. Πιο συγκεκριμένα: 

(α) Οι μέθοδοι που εφαρμόζονται από τους χρήστες θα 
πρέπει να περιλαμβάνουν μια μέθοδο κρυπτογράφησης 
και τουλάχιστον μία μέθοδο επαλήθευσης και προσδιορι¬ 
σμού ταυτότητας. Αυτές οι μέθοδοι πρέπει να είναι αρκε¬ 
τά γενικές και ανοικτές ώστε να παρέχουν μέγιστη προ¬ 
σαρμοστικότητα από την πλευρά του χρήστη και των 
εφαρμογών, μέσα όμως σε κάποια όρια ασφάλειας και εύ¬ 
κολης διαχείρισης. 
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(β) Οι τεχνικές θα πρέπει να παρέχουν στο χρήστη τη 
δυνατότητα να αποδεικνύει ότι είναι αυτός που δηλώνεται 
και να οργανώνουν έτσι τα δεδομένα προς μετάδοση 
ώστε να αποφεύγεται η ανάρμοστη γνωστοποίηση ή τρο¬ 
ποποίηση των δεδομένων κατά τη μετάδοση τους. Επο¬ 
μένως, τεχνικές επαλήθευσης και προσδιορισμού της 
ταυτότητας του χρήστη θα πρέπει να συνυπάρχουν με τε¬ 
χνικές κρυπτογράφησης και μετάδοσης δεδομένων ώστε 
να εγγυηθούν ότι τα δεδομένα θα μεταφερθούν με ασφα¬ 
λή τρόπο και ότι μόνο οι εξουσιοδοτημένοι χρήστες θα 
μπορέσουν να τα διαβάσουν. 

(γ) Υπάρχουν περιπτώσεις που «σταθεροί» κωδικοί 
πρόσβασης δεν επαρκούν, αλλά χρειάζεται ένα είδος 
δυναμικής πιστοποίησης των δεδομένων. Μια σειρά 
από διαφορετικές τεχνολογίες μπορούν να παρέχουν 
ένα είδος δυναμικής πιστοποίησης, όπως γεννήτριες 
δυναμικών κωδικών, τεχνικές βασισμένες στην κρυπτο¬ 
γραφία, καθώς και ψηφιακές υπογραφές και πιστοποιη¬ 
τικά. 

(δ) Οι τεχνικές προσδιορισμού των κωδικών πρόσβασης 
παρέχουν ένα επίπεδο ασφάλειας. Η δυσκολία ανίχνευ¬ 
σης των κωδικών αυτών από τρίτα άτομα καθώς και ο τρό¬ 
πος που αυτοί προστατεύονται καθορίζουν εμμέσως την 
ισχύ της διαδικασίας επαλήθευσης της ταυτότητας του 
χρήστη. 

4. Οι χρήστες δεν θα πρέπει να δίνουν το λογαριασμό 
πρόσβασης καθώς και τους αντίστοιχους κωδικούς που 
έχουν σε άλλα μη εξουσιοδοτημένα άτομα. 

5. Οι χρήστες δεν θα πρέπει να αλλάζουν χαρακτηριστι¬ 
κά των συστημάτων λογισμικού ή υλικού, καθώς και να 
μην εγκαθιστούν προγράμματα σε υπολογιστές ή στο δί¬ 
κτυο που εν γνώσει τους μπορεί να προκαλέσουν ζημιές ή 
να δημιουργήσουν υπερβολικό φορτίο στο υπολογιστικό 
σύστημα ή στο δίκτυο. 

6. Οι χρήστες πρέπει να συμμορφώνονται με τον τρόπο 
χρήσης του ηλεκτρονικού τους ταχυδρομείου όπως 
προσδιορίζεται από τους παρόχους διαδικτύου και το πε¬ 
ριβάλλον εργασίας τους. Μπορεί να υπάρχουν κανόνες 
που να ορίζουν τόσο τη συμπεριφορά των χρηστών όσο 
και τις απαιτήσεις των εφαρμογών και των εξυπηρετητών 
ηλεκτρονικού ταχυδρομείου. 

(α) Απαραίτητη θεωρείται η εξέταση των εισερχόμενων 
μηνυμάτων για ιούς και κακόβουλα δεδομένα 
(β) Οι εξυπηρετητές (εβα/ΟΓε) του ηλεκτρονικού ταχυ¬ 
δρομείου μπορεί να είναι αρχικοποιημένοι ώστε κάθε μή¬ 
νυμα να υπογράφεται χρησιμοποιώντας την ψηφιακή 
υπογραφή του αποστολέα, να απαγορεύουν την αποστο¬ 
λή μηνυμάτων σε μη κατάλληλους προορισμούς και να 
ανιχνεύουν τη χρήση με κατάλληλα προγράμματα για 
αποστολή / παραλαβή μηνυμάτων. 

(γ) Οι χρήστες θα πρέπει να συμμορφώνονται με τους 
κανόνες ασφάλειας που ορίζονται από τους παρόχους 
διαδικτύου, ύστερα από ενημέρωσή τους από τον πάρο- 
χο διαδικτύου σχετικά με αυτούς τους κανόνες. Οι χρή¬ 
στες δηλώνουν τη συμμόρφωσή τους με σαφή, ατελή και 
εύκολα προσβάσιμο τρόπο, είτε ενυπόγραφα είτε ηλε¬ 
κτρονικά. Οι κανόνες αυτοί μπορεί να περιέχουν περιορι¬ 
σμούς ως προς το υλικό που θα μεταδώσουν, και να εξα¬ 
σφαλίζουν τη μη παραβίαση των δικαιωμάτων πνευματι¬ 
κής ιδιοκτησίας, καθώς και τη μη εξουσιοδοτημένη 
πρόσβαση σε δικτυακούς πόρους. 


(δ) Οι χρήστες δεν θα πρέπει να δημοσιοποιούν υλικό σε 
ηλεκτρονικούς τόπους, ηοννε ρΓουρε ή πιείΙ Ιίείε, το οποίο 
είναι παράνομο, ή όχι κατάλληλο (π.χ. να στέλνουν θΙθο- 
ΐΓοπίοίυηΚ πιαίΙ ή οίιαίη ΙθΙΙθΓε). 

ΚΕΦΑΛΑΙΟ III 

ΠΟΛΙΤΙΚΗ ΟΡΘΗΣ (ΔΕΟΝΤΟΛΟΓΙΚΗΣ) 
ΣΥΜΠΕΡΙΦΟΡΑΣ ΧΡΗΣΤΗ 

Άρθρο 4 

Σκοπός και πεδίο εφαρμογής 
της πολιτικής ορθής συμπεριφοράς 

1. Η ανάπτυξη της επικοινωνίας μέσω Διαδικτύου και 
συναφών υπηρεσιών είναι τόσο προς όφελος των παρο¬ 
χών διαδικτύου και υπηρεσίας εφαρμογής όσο και προς 
όφελος των χρηστών. Αφενός διότι θα οδηγήσουν στην 
επιχειρηματική ανάπτυξη των παροχών αυτών, αφετέρου 
διότι οι παρεχόμενες υπηρεσίες εξυπηρετούν τον χρή¬ 
στη. Προϋπόθεση της ανάπτυξης και διάδοσής τους είναι 
να διέπονται από Κανόνες Δεοντολογίας. Ενδεικτικά θα 
μπορούσαμε να αναφέρουμε τους κανόνες (ΝθΙΙηυθΙΙθ) 
που ορίζονται από την παγκόσμια κοινότητα του Διαδι¬ 
κτύου ΙΕΤΡ. 

2. Για την επιτυχία του ως άνω σκοπού θα πρέπει οι κα¬ 
νόνες αυτοί να γίνουν αποδεκτοί από όλους ανεξαιρέτως 
τους εμπλεκόμενους στις δικτυακές επικοινωνίες, δηλα¬ 
δή τους χρήστες, τους χρήστες παρόχου και τους παρό¬ 
χους επικοινωνιακών συστημάτων και εφαρμογών. 

3. Η εφαρμογή των κανόνων αυτών σε επίπεδο φυσικού 
ή νομικού προσώπου συνιστά την πολιτική ορθής συμπε¬ 
ριφοράς του εν λόγω προσώπου. 

Άρθρο 5 

Πολιτική ορθής συμπεριφοράς παροχών 

1. Οι πάροχοι διαδικτύου είναι απαραίτητο να δίνουν το 
παράδειγμα σε κάθε επιχειρηματικό τους βήμα, και κάθε 
επιχειρηματική τους πράξη να είναι νόμιμη, ειλικρινής και 
να διέπεται από διαφάνεια. 

2. Ο πάροχος διαδικτύου και οι χρήστες παρόχου θα 
πρέπει να προσπαθούν να διαφυλάσσουν τους κανόνες 
ορθής συμπεριφοράς και να απαντούν άμεσα σε τυχόν 
ερωτήματα χρηστών. 

3. Ο πάροχος διαδικτύου θα πρέπει να προσπαθήσει να 
αυξήσειτην εμπιστοσύνη των χρηστών στις παρεχόμενες 
εφαρμογές εφαρμόζοντας τους κανόνες της καθημερι¬ 
νής ορθής συμπεριφοράς και στο Διαδίκτυο. 

4. Ο πάροχος διαδικτύου είναι υποχρεωμένος να κα¬ 
ταγγέλλει άμεσα στην ΑΔΑΕ περιπτώσεις μη ορθής συ¬ 
μπεριφοράς μέσω των προσφερόμενων εφαρμογών που 
εμπίπτουν στην αντίληψή του όπως ορίζει κάθε φορά η 
ισχύουσα νομοθεσία. 

5. Σε περιπτώσεις όπου η νομοθεσία αδυνατεί να επιβά¬ 
λει όρους και κανόνες τότε η πολιτική ορθής συμπεριφο¬ 
ράς του παρόχου διαδικτύου θα πρέπει πάντοτε να δια- 
φυλάσσειτο χρήστη. 

6. Η πολιτική ορθής συμπεριφοράς αποτελεί έννοια με 
ευρεία φιλοσοφική διάσταση και ως εκτούτου καθίσταται 
δύσκολη η πλήρης καταγραφή της. Εντούτοις, κάθε πά¬ 
ροχος διαδικτύου οφείλει να συμπεριλαμβάνει επίσημες 
αναφορές σε αυτήν σε κατάλληλα σημεία των επίσημων 
εγγράφων του (π.χ. γενικές αρχές λειτουργίας) όσο και 
στο υλικό που διανέμει στους χρήστες των διαδικτυακών 
υπηρεσιώντου. 
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Άρθρο 6 

Πολιτική ορθής συμπεριφοράς χρηστών 

1. Οι χρήστες είναι υποχρεωμένοι να χρησιμοποιούν τις 
εφαρμογές, όπως αυτές παρέχονται από τον εκάστοτε πά- 
ροχο διαδικτύου, έχοντας υπόψη τους ότι οι κατά την κρα¬ 
τούσα αντίληψη κανόνες ορθής συμπεριφοράς, πρέπει να 
διαφυλάσσονται και κατά τη χρήση των εφαρμογών αυτών. 

2. Σε κάθε περίπτωση που υποπίπτει στην αντίληψη του 
χρήστη μη ορθή συμπεριφορά και χρήση των εφαρμο¬ 
γών, είναι υποχρεωμένος να ειδοποιεί άμεσα τον πάροχο 
διαδικτύου ή και να καταγγέλλει το περιστατικό στις αρ¬ 
μόδιες υπηρεσίες. 

3. Ο χρήστης πρέπει να κατανοήσει ότι είναι υπεύθυνος 
για κάθε πράξη του στο Διαδίκτυο. Σε περιπτώσεις όπου 
ο χρήστης χρησιμοποιείτο Διαδίκτυο καιτις παρεχόμενες 
εφαρμογές για εκβιασμό, αποστολή μηνυμάτων ρατσι¬ 
στικού ή προσβλητικού περιεχομένου κ.ο.κ, ο χρήστης 
διώκεται βάσει της υπάρχουσας νομοθεσίας. 

Άρθρο 7 

Ανήθικη συμπεριφορά 

1. Οι πάροχοι διαδικτύου, οι χρήστες και οι χρήστες πα- 
ρόχου θα πρέπει να αποφεύγουν κάθε είδους ανήθικη 
συμπεριφορά μέσω εφαρμογών Διαδικτύου. 

2. Υπογραμμίζεται ότι η ανήθικη και παράνομη συμπερι¬ 
φορά μέσω διαδικτυακών εφαρμογών δεν διαχωρίζεται 
νομικά από τις κανονικές περίπτωσης ανήθικης συμπερι¬ 
φοράς, όπως αυτές προβλέπονται από την νομοθεσία. 

3. Κάθε περίπτωση εκβιασμού, λιβελογραφίας, συκο¬ 
φαντικής δυσφήμισης, ρατσιστικής μεταχείρισης, παιδο- 
φιλίας, παρακολούθησης ή διαρροής απόρρητων πληρο¬ 
φοριών κ.ο.κ. καλύπτεται νομικά από την υπάρχουσα νο¬ 
μοθεσία, η οποία ισχύει και για τις περιπτώσεις στις 
οποίες χρησιμοποιήθηκαν διαδικτυακάς επικοινωνίες και 
εφαρμογές. Ειδικά υπογραμμίζεται η περίπτωση όπου ο 
πάροχος διαδικτύου ή οι χρήστες παρόχου χρησιμοποι¬ 
ούν παράνομα και ανήθικα την προσφερόμενη στον χρή¬ 
στη υπηρεσία. 

ΚΕΦΑΛΑΙΟ IV 

ΧΡΗΣΗ ΚΡΥΠΤΟΓΡΑΦΙΚΩΝ ΑΛΓΟΡΙΘΜΩΝ 

Άρθρο 8 
Κρυπτογράφηση 

1. Η κρυπτογράφηση έχει βασικό σκοπό να διασφαλίσει 
την εμπιστευτικότητα, την ακεραιότητα και τη μη-αποποί- 
ηση ευθύνης στις συναλλαγές και τις επικοινωνίες μέσω 
Διαδικτύου, τα οποία και αποτελούν αναπόσπαστα στοι¬ 
χεία της ιδιωτικότηταςτου χρήστη. 

2. Οι πάροχοι διαδικτύου οφείλουν να εφαρμόζουν αλ¬ 
γόριθμους και τεχνικές κρυπτογράφησης τόσο στα συ¬ 
στήματα μετάδοσης δεδομένων που χρησιμοποιούν όσο 
και στις εφαρμογές καιτις υπηρεσίες του Διαδικτύου που 
παρέχουν. Σχετικά με το τελευταίο, ενδεικτικά και όχι πε¬ 
ριοριστικά αναφέρονται οι υπηρεσίες ηλεκτρονικού 
εμπορίου, οι τραπεζικές συναλλαγές μέσω Διαδικτύου 
και το ηλεκτρονικό ταχυδρομείο. 

3. Σχετικά μετά συστήματα μετάδοσης, οι πάροχοι δια¬ 
δικτύου είναι υποχρεωμένοι να ακολουθούν τα διεθνή 
πρότυπα ανάλογα με τη τεχνολογία μετάδοσης που ακο¬ 
λουθείται. Οι πάροχοι διαδικτύου είναι υποχρεωμένοι να 
ενημερώνουν την ΑΔΑΕ ως προς τις τεχνικές κρυπτογρά¬ 
φησης που ακολουθούν. 


4. Ανεξάρτητα από το πεδίο στο οποίο εφαρμόζονταιτε- 
χνικές κρυπτογράφησης, το επίπεδο της κρυπτογράφη¬ 
σης πρέπει να είναι τέτοιο ώστε να εξασφαλίζει ότι η πα¬ 
ραβίασή της δεν είναι δυνατή (σε λογικό χρόνο και με λο¬ 
γικούς υπολογιστικούς πόρους). Το επίπεδο της 
κρυπτογράφησης εκφράζεται συνήθως από το μέγεθος 
του κλειδιού κρυπτογράφησης. Στη γενική περίπτωση 
όσο μεγαλύτερο είναι το μήκος του κλειδιού τόσο δυσκο¬ 
λότερη γίνεται η παραβίαση της κρυπτογράφησης. Η 
ΑΔΑΕ θα εκδίδει τεχνικές οδηγίες και συστάσεις που θα 
καθορίζουν το μήκος του κλειδιού ανά πεδίο κρυπτογρά¬ 
φησης. 

5. Ανεξάρτητα από το πεδίο στο οποίο εφαρμόζονταιτε- 
χνικές κρυπτογράφησης, οι αλγόριθμοι κρυπτογράφη¬ 
σης που θα χρησιμοποιούνται θα πρέπει να είναι οι ευρέ¬ 
ως αποδεκτοί αλγόριθμοι. Ενδεικτικά και όχι περιοριστικά 
αναφέρονται οι αλγόριθμοι Β3Α, ΩΙίίΙβ-ΗθΙΙπιαη και ΕΙΘα- 
πιαΙ για την ασύμμετρη κρυπτογραφία και οι 3ΩΕ5 (ΩαΙα 
ΕποΓγρΙίοη δΙαπάαΓά), ΑΕ5 (Αάναπσθά ΕποΓγρΙίοπ 3ί3π- 
ά3Γά), ΙΩΕΑ (Ιπΐβτη3ΐίοη3ΐ ΌάΧά ΕποΓγρΙίοπ ΑΙροπΙίιηη), 
ΒΙοννίίεΙπ και ΘΑ5Τ για τη συμμετρική κρυπτογραφία. 

Άρθρο 9 

Ασφάλεια Εφαρμογών Διαδικτύου 

1. Για την ασφάλεια και τη διασφάλιση του απορρήτου 
των εφαρμογών Διαδικτύου έχουν αναπτυχθεί διάφορα 
πρωτόκολλα και εφαρμογές που βασίζονται στις γενικές 
αρχές της κρυπτογράφησης. Ανάλογα με τον τύπο εφαρ¬ 
μογής Διαδικτύου έχουν προταθεί και προτυποποιηθεί 
συγκεκριμένα πρωτόκολλα. 

2. Οι πάροχοι υπηρεσίας εφαρμογής οφείλουν να κά¬ 
νουν χρήση των ευρέως αποδεκτών τεχνικών και πρωτό¬ 
κολλων ασφάλειας των εφαρμογών Διαδικτύου. Ενδεικτι¬ 
κά και όχι περιοριστικά αναφέρονται τα ακόλουθα πρω¬ 
τόκολλα ανά τύπο εφαρμογής: 

(α) Γ ια εφαρμογές Παγκόσμιου Ιστού (\ΛΛΛΛ/ν) (π.χ. ηλε¬ 
κτρονικό εμπόριο, τραπεζικές συναλλαγές μέσω Διαδι¬ 
κτύου) χρησιμοποιούνταιτα πρωτόκολλα δοουΓΘ ΒοοΚοίε 
1_3γθΓ (331.) και δοουΓΘ ΗΤΤΡ (3-ΗΤΤΡ). Εξασφαλίζουν αυ- 
θεντικοποίηση, εμπιστευτικότητα και ακεραιότητα στην 
ανταλλαγή δεδομένων μεταξύ στοιχείωντου παγκόσμιου 
ιστού (φυλλομετρητές και εξυπηρετητές). 

(β) Για εφαρμογές ηλεκτρονικού ταχυδρομείου (θ-πιαίΙ) 
χρησιμοποιούνται τα πρωτόκολλα 3/ΜΙΜΕ και ΡΕΜ 
(Ρπνθογ Επάαποθά ΜβΝ), τα οποία εν ολίγοις κάνουν χρή¬ 
ση ψηφιακών υπογραφών και κρυπτογράφησης στα με¬ 
ταδιδόμενα ηλεκτρονικά μηνύματα. Η εφαρμογή ΡΘΡ 
(ΡΓθίΙγ Θοοά Ρπνθογ) χρησιμοποιείται για παρόμοιο σκο¬ 
πό. 

(γ) Το πρωτόκολλο 3ΕΤ (δθουτθ ΕΙθοίΓοηίοΤΓΒΠδεοΙΙοη) 
χρησιμοποιείται για ηλεκτρονικές πληρωμές μέσω πιστω¬ 
τικών καρτών. 

3. Δεδομένου ότι νέα πρωτόκολλα και τεχνολογίες θα 
ανακύπτουν με την πρόοδο της επιστήμης των υπολογι¬ 
στών, η ΑΔΑΕ θα εκδίδει τεχνικές οδηγίες και συστάσεις 
προς τους πάροχους διαδικτύου σχετικά με αυτά τα νέα 
πρωτόκολλα και τις τεχνολογίες. Οι πάροχοι διαδικτύου 
είναι υποχρεωμένοι να ακολουθούν τα εκάστοτε ευρέως 
χρησιμοποιούμενα πρωτόκολλα και τεχνολογίες, είτε αυ¬ 
τόβουλα είτε έπειτα από έλεγχο και αντίστοιχη οδηγία 
απάτην ΑΔΑΕ. 
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ΚΕΦΑΛΑΙΟ V 

ΧΡΗΣΗ ΚΩΔΙΚΩΝ ΑΣΦΑΛΕΙΑΣ (ΡΑ33Ύ0Π03) 
Άρθρο 10 

Ανάγκη ύπαρξης πολιτικής κωδικών ασφάλειας 

1. Οι κωδικοί ασφάλειας αποτελούν ένα από τα σημα¬ 
ντικότερα πεδία της ασφάλειας των επικοινωνιών. Αποτε¬ 
λούν την τελευταία γραμμή άμυνας ενάντια σε αυτούς 
που θα προσπαθήσουν να επιβουλευθούν ένα δίκτυο δε¬ 
δομένων, δημόσιο ή ιδιωτικό, ή ένα υπολογιστικό σύστη¬ 
μα. 

2. Τα παραπάνω καθίστανται ακόμα πιο σημαντικά στις 
ακόλουθες περιπτώσεις: 

(α) Στην περίπτωση που ο κωδικός ασφάλειας αφορά 
χρήστη παρόχου ο οποίος συνδέεται με τα συστήματα 
του παρόχου διαδικτύου από απόσταση, μέσω Διαδικτύ¬ 
ου. 

(β) Στην περίπτωση που ο κωδικός ασφάλειας αφορά 
χρήστη παρόχου ο οποίος αποκτά πρόσβαση από σύστη¬ 
μα του παρόχου διαδικτύου προς το Διαδίκτυο. 

Και στις δύο περιπτώσεις ένας ακατάλληλος κωδικός 
ασφάλειας δύναται να οδηγήσει σε απώλεια σημαντικών 
δεδομένων καθώς και σε γενικότερη δυσλειτουργία των 
συστημάτωντου παρόχου διαδικτύου. 

3. Συνεπώς κάθε πάροχος διαδικτύου θα πρέπει να δια¬ 
θέτει και να επιβάλλει κανόνες αναφορικά με τους κωδι¬ 
κούς ασφάλειας ούτως ώστε: 

(α) Να δημιουργούνται συμπαγείς κωδικοί. 

(β) Να προστατεύονται οι ως άνω κωδικοί. 

(γ) Να μεταβάλλονται συχνά οι ως άνω κωδικοί. 

4. Η πολιτική αυτή θα πρέπει να εφαρμόζεται από όλους 
τους χρήστες και χρήστες παρόχου, οι οποίοι διαθέτουν 
λογαριασμό με πρόσβαση από και προς το Διαδίκτυο και 
ιδιαίτερα αν χειρίζονται ευαίσθητα, μη διαθέσιμα στο κοι¬ 
νό, δεδομένα. 

Άρθρο 11 

Δημιουργία και Διαχείριση κωδικών ασφάλειας 

1. Της εφαρμογής μιας πολιτικής δημιουργίας και δια¬ 
χείρισης κωδικών ασφάλειας σε έναν πάροχο διαδικτύου 
προηγείται ο διαχωρισμός των συστημάτων σε αυτά που 
χρειάζονται προστασία μέσω κωδικών ασφάλειας και σε 
αυτά που διατίθενται προς ελεύθερη πρόσβαση. 

2. Προκειμένου οι χρήστες και χρήστες παρόχου να 
χρησιμοποιήσουν ένα εταιρικό δίκτυο ή υπολογιστικό σύ¬ 
στημα το οποίο προστατεύεται, θα πρέπει να διαθέτουν 
«όνομα χρήστη» (Ιορίη παπίθ) και κατάλληλο κωδικό 
ασφάλειας (ραεεννοιτΙ). Ως εκ τούτου η πολιτική κωδικών 
ασφάλειας περιλαμβάνει: 

(α) Περιγραφή των κανόνων σύμφωνα με τους οποίους 
γίνεται η δημιουργία των ονομάτων χρηστών (υεθΓ 
παιτίθε) 

(β) Περιγραφή των κανόνων σύμφωνα με τους οποίους 
γίνεται η δημιουργία των κωδικών ασφάλειας 
(ραεεννΟΓόε). 

(γ) Περιγραφή των διαδικασιών σύμφωνα με τις οποίες 
διανέμεται σε κάθε χρήστη ή χρήστη παρόχου το αντί¬ 
στοιχο όνομα χρήστη καθώς και ο κωδικός ασφάλειας. 

(δ) Περιγραφή των κανόνων σύμφωνα με τους οποίους 
επιτυγχάνεται η τακτική αλλαγή των κωδικών ασφάλειας 
και η εν γένει διαχείρισή τους. 


(ε) Περιγραφή των κανόνων οι οποίοι καθορίζουν την 
ενδεδειγμένη συμπεριφορά των χρηστών και χρηστών 
παρόχου αναφορικά με την προστασία των κωδικών 
ασφάλειας. Το σύνολο των εν λόγων κανόνων, οι οποίοι 
αποτελούν υποσύνολο της πολιτικής δημιουργίας και δια¬ 
χείρισης κωδικών ασφάλειας, συνιστούν την πολιτική 
προστασίας των κωδικών ασφάλειας. 

(στ) Περιγραφή των διαδικασιών σύμφωνα με τις οποί¬ 
ες διενεργείται έλεγχος για την πιστή ή μη εφαρμογή της 
εν λόγω πολιτικής. 

3. Η πολιτική δημιουργίας και διαχείρισης κωδικών 
ασφάλειας θα πρέπει να βρίσκεται καταγεγραμμένη σε 
αντίστοιχο επίσημο έντυπο του πάροχου διαδικτύου, στο 
οποίο πρέπει να υπάρχει ελεγχόμενη πρόσβαση. 

4. Οι χρήστες και χρήστες παρόχου, μόλις παραλαμβά- 
νουν τους κωδικούς ασφάλειάς τους, θα πρέπει να λαμ¬ 
βάνουν εγγράφως γνώση των υποχρεώσεών τους που 
απορρέουν από τις υφιστάμενες πολιτικές για τους κωδι¬ 
κούς ασφάλειας. 

5. Η πολιτική δημιουργίας και διαχείρισης κωδικών 
ασφάλειας θα πρέπει να πληροί, κατ’ ελάχιστον, τα ακό¬ 
λουθα χαρακτηριστικά: 

(α) Ύπαρξη συμπαγών κωδικών ασφάλειας: Οι χρησι¬ 
μοποιούμενοι κωδικοί ασφάλειας θα πρέπει να είναι συ¬ 
μπαγείς έτσι ώστε να μην μπορεί να τους «μαντέψει» όποι¬ 
ος επιβουλεύεται το σύστημα. Συνεπώς η πολιτική κωδι¬ 
κών ασφάλειας θα πρέπει να επιβάλλει τη δημιουργία 
κωδικών ασφάλειας με συνδυασμό γραμμάτων, αριθμών 
και μη αλφαριθμητικών χαρακτήρων. Επιπλέον θα πρέπει 
να επιβάλλεται ένα ικανό ελάχιστο μήκος. 

(β) Περιορισμένη πρόσβαση στο αρχείο φύλαξης των 
κωδικών ασφάλειας: Η πρόσβαση στο αρχείο που φυ¬ 
λάσσονται οι κωδικοί πρόσβασης θα πρέπει να είναι πε¬ 
ριορισμένη. 

(γ) Περιοδική αλλαγή κωδικών ασφάλειας: Η πολιτική 
θα πρέπει να μην ευνοεί την συνεχή χρήση του ιδίου κω¬ 
δικού ασφάλειας. Η συχνότητα με την οποία επιβάλλεται 
στους χρήστες και στους χρήστες παρόχου να αλλάζουν 
κωδικό εξαρτάται από τους διαχειριστές του συστήματος 
καθώς και από τη φύση της λειτουργίας του παρόχου δια¬ 
δικτύου. Πάντως σε χαρακτηριστικές περιπτώσεις όπως 
είναι (ενδεικτικά) η αποχώρηση κάποιου χρήστη παρόχου 
ή η παραβίαση κάποιου λογαριασμού τότε θα πρέπει άμε¬ 
σα να λαμβάνει χώρα αλλαγή του αντίστοιχου κωδικού 
ασφάλειας. Επιπλέον σε περιπτώσεις ευρείας παραβία¬ 
σης της ασφάλειας του συστήματος, η οποία ενδέχεται 
να περιλαμβάνει και παραβίαση λογαριασμών διαχειρι¬ 
στών του συστήματος, θα πρέπει να λαμβάνει χώρα αλ¬ 
λαγή όλων των κωδικών ασφάλειας. 

(δ) Αδρανοποίηση κωδικού ασφάλειας: Ως επιπλέον μέτρο 
ασφάλειας δύναται να επιβληθεί η αδρανοποίηση του λογα¬ 
ριασμού του χρήστη και του χρήστη παρόχου στην περίπτω¬ 
ση επαναλαμβανόμενης εισαγωγής κωδικών ασφάλειας 
(π.χ. μετά από τρεις συνεχόμενες αποτυχημένες απόπειρες). 

6. Οι υπεύθυνοι ασφάλειας του συστήματος οφείλουν 
να πραγματοποιούν περιοδικούς ελέγχους προκειμένου 
να διαπιστώσουν κατά πόσον οι κωδικοί ασφάλειας είναι 
συμπαγείς με βάση τους αντιστοίχους κανόνες της πολι¬ 
τικής δημιουργίας και διαχείρισης κωδικών ασφάλειας. 
Οι έλεγχοι θα περιλαμβάνουν δοκιμές της αντοχής στις 
μεθόδους αποκρυπτογράφησης των υφισταμένων κωδι¬ 
κών με αυτοματοποιημένο τρόπο μέσω καταλλήλων ερ¬ 
γαλείων λογισμικού. 
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7. Εφόσον κατά τη διάρκεια των περιοδικών ελέγχων 
διαπιστωθεί η ύπαρξη μη συμπαγών κωδικών ασφάλειας, 
οι αντίστοιχοι χρήστες θα υποχρεώνονται να προβούν 
άμεσα στην αντικατάστασή τους. 

Άρθρο 12 

Δημιουργία και Διαχείριση κωδικών ασφάλειας 
αναφορικά με την πρόσβαση (μέσω Διαδικτύου) 
από απόσταση σε εφαρμογές 

1. Εφόσον ένας πάροχος διαδικτύου παρέχει στους 
χρήστες και χρήστες παρόχου πρόσβαση από απόσταση 
(μέσω Διαδικτύου) σε εφαρμογές, θα πρέπει να λαμβάνει 
επιπλέον μέτρα σε σχέση με τη δημιουργία και διαχείριση 
των κωδικών ασφάλειας. 

2. Στο βαθμό που είναι τεχνικά δυνατόν θα πρέπει να 
υφίσταται μία κοινή αρχιτεκτονική ταυτοποίησης για όλες 
τις εφαρμογές στις οποίες παρέχεται πρόσβαση μέσω 
Διαδικτύου. Η εν λόγω αρχιτεκτονική είναι προτιμότερο 
να βασίζεται σε διεθνώς αποδεκτά πρότυπα (π.χ. ΒΑϋΙ- 

υδ) 

3. Οι υπεύθυνοι ασφάλειας του παρόχου διαδικτύου θα 
πρέπει να προβαίνουν σε αποτίμηση κινδύνου αναφορικά 
με το κατά πόσον μια τέτοια εφαρμογή καθίσταται ασφα¬ 
λής μέσω της χρήσης ονόματος χρήστη / κωδικού ασφά¬ 
λειας ή κατά πόσον θα πρέπει να χρησιμοποιούνται πρό¬ 
σθετες τεχνικές ταυτοποίησης. Χαρακτηριστικό παρά¬ 
δειγμα αποτελούν οι εφαρμογές μέσω των οποίων 
λαμβάνουν χώρα οικονομικές συναλλαγές. 

4. Η εν λόγω αποτίμηση θα πρέπει μεταξύ άλλων να πα¬ 
ρέχει κατευθύνσεις αναφορικά με τα ακόλουθα: 

(α) Κατά πόσον οι εν λόγω εφαρμογές είναι σχεδιασμέ¬ 
νες με βάση την εγκεκριμένη πολιτική για τους κωδικούς 
ασφάλειας. 

(β) Ποιες εφαρμογές θα πρέπει να υποστηρίζουν την 
κρυπτογράφηση του ζεύγους αναγνωριστικών όνομα 
χρήστη / κωδικός ασφάλειας κατά την πρόσβαση στην 
εφαρμογή μέσω της χρήσης καταλλήλου πρωτοκόλλου 
βασισμένο σε αλγόριθμο κρυπτογράφησης δημοσίου 
κλειδιού (π.χ. ίιΙΙρε). 

(γ) Για ποιες εφαρμογές απαιτείται να παράγεται εκ νέ¬ 
ου κωδικός ασφάλειας κάθε φορά που κάποιος χρήστης 
χρειάζεται να αποκτήσει πρόσβαση από απόσταση σε αυ¬ 
τές. Σε μια τέτοια περίπτωση θα πρέπει να προδιαγράφε¬ 
ται η διαδικασία δημιουργίας τέτοιων βραχύβιων κωδι¬ 
κών, π.χ. μέσω της χρήσης εξειδικευμένων συσκευών που 
διατίθενται στους χρήστες και στους χρήστες παρόχου. 

5. Στις περιπτώσεις όπου υφίστανται εφαρμογές οι 
οποίες υποστηρίζουν αποκρυπτογράφηση δεδομένων με 
χρήση ιδιωτικού κλειδιού, οι πολιτικές που ισχύουν γιατη 
διαχείριση των κωδικών ασφάλειας έχουν εφαρμογή και 
στη διαχείριση των ιδιωτικών κλειδιών. 

Άρθρο 13 

Προστασία κωδικών ασφάλειας 

1. Οι υπεύθυνοι ασφάλειας του δικτύου ή του συστήμα¬ 
τος θα πρέπει να δίνουν έμφαση στην ενημέρωση των 
χρηστών αναφορικά με την πολιτική προστασίας των κω¬ 
δικών ασφάλειας. 

2. Συνιστάται η πολιτική προστασίας των κωδικών 
ασφάλειας να είναι καταγεγραμμένη με τη μορφή απλών 
κανόνων οι οποίοι θα είναι κατανοητοί από το σύνολο των 
χρηστών και χρηστών παρόχου έτσι ώστε να μπορούν να 
τους εφαρμόζουν. 


3. Η πολιτική προστασίας των κωδικών ασφάλειας θα 
πρέπει να περιλαμβάνει, κατ’ ελάχιστον, τους ακόλου¬ 
θους κανόνες: 

(α) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να 
μοιράζεται των κωδικό ασφάλειας του με άλλους χρήστες 
και χρήστες παρόχου εκτός αν ο λογαριασμός στον οποίο 
αντιστοιχεί ο εν λόγω κωδικός προορίζεται ρητώς για 
πρόσβαση πολλαπλών χρηστών. 

(β) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να 
αποκαλύπτει σε οποιονδήποτετον κωδικό ή τους κωδικούς 
ασφάλειας που του έχουν δοθεί. Η απαγόρευση αυτή περι¬ 
λαμβάνει και άτομα που υπό άλλες συνθήκες θεωρούνται 
έμπιστα όπως π.χ. προϊσταμένους, υφισταμένους, φίλους 
και μέλη της οικογένειας του χρήστη και χρήστη παρόχου. 

(γ) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να 
συμπεριλαμβάνει τους κωδικούς ασφάλειάςτου σε μηνύ¬ 
ματα ηλεκτρονικού ταχυδρομείου. 

(δ) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να 
αναφέρει τους κωδικούς ασφάλειας του κατά τη διάρκεια 
τηλεφωνικών συνομιλιών. 

(ε) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να 
καταγράφει τους κωδικούς ασφάλειας του σε ερωτημα¬ 
τολόγια ή άλλα έγγραφα ακόμα και αν αυτά αποτελούν 
επίσημα έγγραφα του παρόχου διαδικτύου. 

(στ) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να χρη¬ 
σιμοποιεί τον κωδικό ασφάλειάςτου προκειμένου να παρέχει 
πρόσβαση στο σύστημα σε μη εξουσιοδοτημένα άτομα. 

(ζ) Ο χρήστης και χρήστης παρόχου οφείλει να απομνη¬ 
μονεύει τον κωδικό ασφάλειάςτου. Ως εκ τούτου, δεν θα 
πρέπει να καταγράφει τον κωδικό ασφάλειας του σε χαρ¬ 
τί ή άλλο μέσο καταγραφής ιδιαίτερα εφόσον το μέσο κα¬ 
ταγραφής βρίσκεται κοντά στον υπολογιστή του. Σε περί¬ 
πτωση που, για οποιονδήποτε λόγο, η απομνημόνευση εί¬ 
ναι αδύνατη τότε το μέσο καταγραφής του κωδικού 
ασφάλειας θα πρέπει να τοποθετείται σε κάποιον προ- 
στατευμένο χώρο (π.χ. κλειδωμένη ντουλάπα) 

(η) Ο χρήστης και χρήστης παρόχου οφείλει να αναφέ¬ 
ρει στους υπευθύνους ασφάλειας οποιοδήποτε γεγονός 
ή ενέργεια υποπέσει στην αντίληψη του σχετικά με την 
παραβίαση της ασφάλειας του λογαριασμού του. 

4. Η πολιτική προστασίας κωδικών ασφάλειας θα πρέπει 
να αναφέρει ρητώς τις επιβαλλόμενες κυρώσεις για τις πε¬ 
ριπτώσεις που διαπιστωθεί παράβαση της εν λόγω πολιτι¬ 
κής εξ’ υπαιτιότητος του χρήστη και χρήστη παρόχου. 

ΚΕΦΑΛΑΙΟ VI 

ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΠΟΤΡΟΠΗ ΙΩΝ 
Άρθρο 14 

Σκοπός και Αναγκαιότητα της Πολιτικής 

1. Η Πολιτική Προστασίας και Αποτροπής Ιών (ΑπΙι-νίτυε 
ΡοΙίογ) περιγράφει τις διαδικασίες αποτροπής, ανίχνευ¬ 
σης και αντιμετώπισης ιών που απαιτούνται προκειμένου 
να εξασφαλίζεται στο μέγιστο δυνατό βαθμό η προστασία 
του συνόλου του δικτύου του παρόχου διαδικτύου καιτων 
χρηστών του από ιούς. 

2. Σε ό,τι αφορά τη διασφάλιση απορρήτου επικοινω¬ 
νιών ενός χρήστη και χρήστη παρόχου, πολλοί ιοί παρα¬ 
βιάζουν το σύστημα ασφάλειας του υπολογιστικού συ¬ 
στήματος και δημιουργούν αδυναμίες, μέσω των οποίων 
είναι δυνατόν να εγκατασταθούν προγράμματα πάσης 
φύσεως συμπεριλαμβανομένου και εφαρμογών που απο¬ 
σκοπούν στην: 
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(α) Καταστροφή διαβαθμισμένων - απόρρητων πληρο¬ 
φοριών 

(β) Υποκλοπή διαβαθμισμένων - απόρρητων πληροφο¬ 
ριών 

(γ) Παρακολούθηση και καταγραφή των ενεργειών του 
χρήστη και χρήστη παρόχου 
(δ) Υποκλοπή διαβαθμισμένων - απόρρητων επικοινω¬ 
νιών 

(ε) Αδυναμία πρόσβασης σε διαβαθμισμένες - απόρρη¬ 
τες πληροφορίες 

3. Για να επιτευχθεί η προστασία από τους ιούς, ο πά- 
ροχος διαδικτύου, ο χρήστης και ο χρήστης παρόχου 
οφείλουν να ακολουθήσουν συγκεκριμένες διαδικασίες 
αποτροπής, ανίχνευσης και αντιμετώπισης των ιών, όπως 
περιγράφεται στις παραγράφους που ακολουθούν. 

4. Ο πάροχος διαδικτύου είναι υποχρεωμένος να διαθέ¬ 
τει «Πολιτική Προστασίας Ιών» στην οποία οφείλει να δη¬ 
μοσιεύει όλες τις διαδικασίες αποτροπής, ανίχνευσης και 
αντιμετώπισης ιών που εφαρμόζει και είναι σύμφωνες με 
τις παραγράφους που ακολουθούν. 

Άρθρο 15 

Υποχρεώσεις του Παρόχου Διαδικτύου 

1. Αποτροπή Ιών από τον πάροχο διαδικτύου: Ο πάρο¬ 
χος διαδικτύου οφείλει να: 

(α) Διαθέτει δικτυακό εξοπλισμό ο οποίος περιορίζειτην 
μετάδοση ιών. Γ ια παράδειγμα, η μετάδοση ορισμένων 
ιών είναι δυνατόν να περιοριστεί μέσω χρήσης ειδικών 
φίλτρων (ίΐΓΘνναΙΙε) στη δικτυακή υποδομή του παρόχου 
διαδικτύου. Η αναγκαία παραμετροποίηση των ειδικών 
αυτών φίλτρων πρέπει να εφαρμόζεται έγκαιρα και να δια¬ 
τηρείται έως ότου ο κίνδυνος από το συγκεκριμένο ιό έχει 
περιοριστεί. Ενδεικτικά, συνίσταται η διατήρηση των ειδι¬ 
κών παραμέτρων για δύο τουλάχιστον εβδομάδες. 

(β) Διαθέτειτο απαραίτητο λογισμικό γιατηνπροστασία 
από ιούς όλων των υπηρεσιών και εφαρμογών που προ¬ 
σφέρει στους χρήστες. Γ ια παράδειγμα, υπηρεσίες όπως 
το ηλεκτρονικό ταχυδρομείο (Θ-πιαίΙ) πρέπει να προστα¬ 
τεύονται από εξειδικευμένο λογισμικό (Θ-πιαίΙ εοαηηθί'ε). 

(γ) Εγκαθιστά μονίμως στη μνήμη (ΐΎΐοπιοιγ ΓΘδίάθηί) 
των υπολογιστικών συστημάτων λογισμικό προστασίας 
από ιούς, το οποίο να εξετάζει αυτομάτως όλα τα εισερ¬ 
χόμενα δεδομένα. 

(δ) Εκπαιδεύει και ελέγχει τους χρήστες παρόχου σε τα¬ 
κτά χρονικά διαστήματα, ώστε να ακολουθούνται πάντα 
οι παραπάνω πολιτικές αποτροπής ιών. 

(ε) Διατηρεί μια ομάδα ειδικών για την προστασία από 
ιούς, η οποία θα φροντίζει να ενημερώνεται σχετικά με την 
πιθανότητα επίθεσης από νέους ιούς (με σκοπό την έγκαι¬ 
ρη εγκατάσταση ή/και παραμετροποίηση των απαραίτητων 
μέσων προστασίας) και θα επανεξετάζει περιοδικά (τουλά¬ 
χιστον 2 φορές το χρόνο) την πολιτική προστασίας ιών. 

(στ) Ενημερώνει κι εκπαιδεύει τους χρήστες και χρή¬ 
στες παρόχου σχετικά με το πώς μπορούν να προστατευ- 
θούν από τους ιούς. 

2. Ανίχνευση Ιών από τον πάροχο διαδικτύου: Ο πάρο¬ 
χος διαδικτύου οφείλει να: 

(α) Ανανεώνει τα συστήματα προστασίας από ιούς (ει¬ 
δικό λογισμικό και ειδικός δικτυακός εξοπλισμός) ανά τα¬ 
κτά χρονικά διαστήματα ώστε να μπορούν να αποτρέ¬ 
ψουν τη μετάδοση νέων ιών. Συνίσταται η αυτόματη ενη¬ 
μέρωση των συστημάτων του παρόχου διαδικτύου ανά 
δώδεκα (12) ώρες. 


(β) Εξασφαλίζει ότι όλα τα αρχεία που είναι αποθηκευ- 
μένα στα συστήματα του παρόχου διαδικτύου και τα 
οποία είναι πιθανόν να περιλαμβάνουν ιούς εξετάζονται 
καθημερινά από προγράμματα ανίχνευσης ιών. 

(γ) Ενημερώνει τους χρήστες και χρήστες παρόχου το 
δυνατόν συντομότερο σε περιπτώσεις όπου υπάρχει 
έξαρση μετάδοσης κάποιου επικίνδυνου ιού. Η ενημέρω¬ 
ση αυτή είναι δυνατόν να γίνεται με διάφορους τρόπους. 
Συνίσταται η ενημέρωση να γίνεται μέσω ηλεκτρονικού 
ταχυδρομείου, με ταυτόχρονη παρουσίαση του προβλή¬ 
ματος στην κεντρική σελίδα του δικτυακού του τόπου. Ο 
πάροχος διαδικτύου πρέπει να δίνει πληροφορίες για την 
αντιμετώπιση του ιού παρέχοντας ΙίηΙ<5 σε δικτυακούς τό¬ 
πους μέσω των οποίων ο χρήστης και ο χρήστης παρόχου 
μπορεί να βρει το απαραίτητο λογισμικό για την αντιμε¬ 
τώπιση του ιού. 

(δ) Ενημερώνει τους χρήστες και χρήστες παρόχου 
σχετικά με περιπτώσεις φάρσας, όπου ο χρήστης γίνεται 
συνήθως αποδέκτης ενός οπιαίΙ που τον προειδοποιεί για 
την ύπαρξη κάποιου υποτιθέμενου ιού στο υπολογιστικό 
του σύστημα και τον παροτρύνει να προβεί σε ενέργειες, 
οι οποίες τελικά προκαλούν βλάβη στην σωστή λειτουρ¬ 
γία του λειτουργικού συστήματος. 

3. Αντιμετώπιση Ιών από τον πάροχο διαδικτύου: Ο πά¬ 
ροχος διαδικτύου οφείλει να: 

(α) Ορίσει ομάδα αντιμετώπισης ιών, η οποία θα ανα¬ 
λαμβάνει την ανίχνευση και αφαίρεση όλων των ιών από 
τα υπολογιστικά συστήματα του παρόχου διαδικτύου. 

(β) Απομονώνει εκτός δικτύου υπολογιστικά συστή ματα 
στα οποία ανιχνεύθηκε κάποιος ιός. Το σύστημα είναι 
απαραίτητο να παραμείνει εκτός δικτύου ωσότου ο ιός 
αφαιρεθεί ολοκληρωτικά. 

(γ) Στην περίπτωση που κάποιος χρήστης ζητήσει βοή¬ 
θεια (είτε τηλεφωνικά είτε μέσω άλλου τρόπου επικοινω¬ 
νίας) από τον πάροχο διαδικτύου για την αντιμετώπιση 
ιών, ο πάροχος διαδικτύου πρέπει να είναι προετοιμασμέ¬ 
νος να παραπέμψει τον χρήστη σε πληροφοριακές ιστο¬ 
σελίδες και σε εταιρείες που προσφέρουν αντίστοιχες 
υπηρεσίες. 

Άρθρο 16 

Συστάσεις προς τον Χρήστη και Χρήστη Παρόχου 

1. Αποτροπή Ιών: Ο χρήστης και ο χρήστης παρόχου συ- 
νίσταται να: 

(α) Αναζητά βοήθεια από τον πάροχο διαδικτύου ή οποι- 
ονδήποτε άλλο οργανισμό μπορεί να βοηθήσει σχετικά με 
οποιαδήποτε μη φυσιολογική συμπεριφορά του λειτουρ¬ 
γικού του συστήματος ή εφαρμογής. 

(β) Έχει εγκατεστημένο μονίμως στην μνήμη (πιοσιοι-γ 
ΓΘδίάθηί) ειδικό λογισμικό προστασίας από ιούς. 

2. Ανίχνευση Ιών: Ο χρήστης και ο χρήστης παρόχου 
συνίσταται να: 

(α) Χρησιμοποιεί την υπηρεσία αυτόματης ενημέρωσης 
του λογισμικού για νέους ιούς τουλάχιστον μια φορά το 
μήνα. 

(β) Εξετάζει άλατα αρχεία του προσωπικού υπολογιστή 
τουλάχιστον 2 φορές τον μήνα. 

3. Αντιμετώπιση Ιών: Ο χρήστης και ο χρήστης παρόχου 
συνίσταται να: 

(α) Αποσυνδέει το υπολογιστικό του σύστημα από το δί¬ 
κτυο μέχρις ότου ο ιός αφαιρεθεί ολοκληρωτικά. 
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(β) Σε κάθε περίπτωση ο χρήστης και ο χρήστης παρό- 
χου έχει το δικαίωμα να επικοινωνήσει με τον πάροχο δια¬ 
δικτύου του και να ζητήσει πληροφορίες για την αντιμε¬ 
τώπιση των ιών. Ο πάροχος διαδικτύου σε αυτή την περί¬ 
πτωση είναι υποχρεωμένος να παρέχει βοήθεια στο 
χρήστη και στο χρήστη παρόχου παραπέμποντας τον σε 
αντίστοιχες ιστοσελίδες ή και σε εταιρείες που προσφέ¬ 
ρουν αντίστοιχες υπηρεσίες. 

4. Υπενθυμίζεται ότι η σκόπιμη παραγωγή και μετάδοση 
ιών από συγκεκριμένο άτομο φέρει βαριές κυρώσεις μέ¬ 
σω της είδη υπάρχουσας νομοθεσίας. 

ΚΕΦΑΛΑΙΟ VII 

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΑΡΟΧΟΥ ΥΠΗΡΕΣΙΑΣ ΕΦΑΡ¬ 
ΜΟΓΗΣ (ΑΡΡΙΙΟΑΤΙΟΝ 5ΕΡΐνΐΟΕ ΡΒΟνίϋΕΡ) 

Άρθρο 17 

Σκοπός και Εφαρμογή της Πολιτικής 

1. Η πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμο¬ 
γής ορίζει το σύνολο των εγγυήσεων που οφείλει να λαμ¬ 
βάνει ο πάροχος διαδικτύου από τον πάροχο υπηρεσίας 
εφαρμογής, προκειμένου να εξασφαλιστεί το απόρρητο 
των επικοινωνιών των χρηστών. Η πολιτική αυτή ισχύει σε 
περίπτωση που ο πάροχος διαδικτύου και ο πάροχος υπη¬ 
ρεσίας εφαρμογής έχουν συμβατική σχέση, ανεξαρτή¬ 
τως της τοποθεσίας όπου φιλοξενείται η υποδομή που 
υποστηρίζει τις εν λόγω υπηρεσίες και εφαρμογές. 

2.0 πάροχος διαδικτύου είναι υποχρεωμένος να διαθέ¬ 
τει και να εφαρμόζει πολιτική ασφάλειας παρόχου υπηρε¬ 
σίας εφαρμογής, η οποία να διασφαλίζει το απόρρητο 
των επικοινωνιών των χρηστών και να είναι σύμφωνη με 
τις παραγράφους που ακολουθούν. 

3. Η ανάθεση μιας υπηρεσίας σε κάποιον πάροχο υπη¬ 
ρεσίας εφαρμογής πρέπει να γίνεται ύστερα από γραπτή 
έγκριση του Νομικού Εκπροσώπου του παρόχου διαδι¬ 
κτύου. 

4. Ο πάροχος διαδικτύου οφείλει να ελέγχει διεξοδικά 
κατά πόσο ο πάροχος υπηρεσίας εφαρμογής δύναται να 
εφαρμόσει την πολιτική ασφάλειας παρόχου υπηρεσίας 
εφαρμογής πριν την ανάθεση της υπηρεσίας και κατά τη 
διάρκεια λειτουργίας της υπηρεσίας. Ο πάροχος διαδι¬ 
κτύου είναι ο τελικός υπεύθυνος για την εφαρμογή της 
πολιτικής αυτής από τον πάροχο υπηρεσίας εφαρμογής. 

5. Υπεύθυνος για τον ορισμό, έλεγχο εφαρμογής και 
οποιαδήποτε αλλαγή της πολιτικής ασφάλειας παρόχου 
υπηρεσίας εφαρμογής ορίζεται ο Υπεύθυνος Ασφάλειας 
του παρόχου διαδικτύου. 

6. Ο πάροχος διαδικτύου επιτρέπεται να παραδίδει 
απόρρητα δεδομένα χρήστη στον πάροχο υπηρεσίας 
εφαρμογής μόνο εφόσον ο χρήστης έχει λάβει σαφείς 
πληροφορίες για τον σκοπό της επεξεργασίας, και πάντα 
με τη συγκατάθεση αυτού. Αυτό βέβαια δεν ισχύει στην 
περίπτωση που οι ενέργειες αυτές γίνονται για την εξυ¬ 
πηρέτηση της υπηρεσίας που έχει ρητά ζητήσει ο χρή¬ 
στης. 

7. Ο πάροχος διαδικτύου έχει το δικαίωμα να εξετάζει 
ανά τακτά χρονικά διαστήματα το κατά πόσο ο πάροχος 
υπηρεσίας εφαρμογής εφαρμόζει την πολιτική ασφάλειας 
παρόχου υπηρεσίας εφαρμογής. Αν ο έλεγχος απαιτεί φυ¬ 
σική παρουσία στις εγκαταστάσεις του παρόχου υπηρε¬ 
σίας εφαρμογής, ο πάροχος διαδικτύου οφείλει να ενημε¬ 
ρώσει τον πάροχο υπηρεσίας εφαρμογής τουλάχιστον 24 
ώρες πριν, ειδάλλως δεν απαιτείται καμία προειδοποίηση. 


8. Ο πάροχος υπηρεσίας εφαρμογής οφείλει να κατα¬ 
θέσει στον πάροχο διαδικτύου το πλήρες διάγραμμα δι¬ 
κτύου που χρησιμοποιεί για την υποστήριξη της εν λόγω 
υπηρεσίας, καθώς και τις τυχόν διασυνδέσεις του δικτύ¬ 
ου αυτού με άλλα δίκτυα του παρόχου υπηρεσίας εφαρ¬ 
μογής και του παρόχου διαδικτύου. Θα πρέπει επίσης να 
κατατίθεται το πλήρες διάγραμμα ροής που αφορά στα 
απόρρητα δεδομένα επικοινωνιών, συμπεριλαμβανομέ¬ 
νου των μέσων αποθήκευσης, εφαρμογών επεξεργασίας 
και μέτρων ασφάλειας των δεδομένων αυτών. 

9. Ο πάροχος υπηρεσίας εφαρμογής οφείλει να διακό¬ 
πτει άμεσα τη λειτουργία της υπηρεσίας σε περίπτωση 
που εντοπιστεί οποιοδήποτε θέμα ασφάλειας των απόρ¬ 
ρητων δεδομένων επικοινωνίας. 

10. Ο πάροχος υπηρεσίας εφαρμογής οφείλει να ενη¬ 
μερώνει τον Υπεύθυνο Ασφάλειας του παρόχου διαδικτύ¬ 
ου σχετικά με άλατα συμβάντα ασφάλειας που αφορούν 
στα απόρρητα δεδομένα επικοινωνιών. 

11. Σε ό,τι αφορά θέματα πρόσβασης στις εφαρμογές 
λογισμικού, την υλική υποδομή καιτοδίκτυοτου παρόχου 
υπηρεσίας εφαρμογής, η πολιτική ασφάλειας παρόχου 
υπηρεσίας εφαρμογής πρέπει να περιλαμβάνει τουλάχι¬ 
στον τα παρακάτω: 

(α) Ο πάροχος υπηρεσίας εφαρμογής οφείλει να εφαρ¬ 
μόζει την Πολιτική Πρόσβασης του παρόχου διαδικτύου 
ως προς τα συστήματα αποθήκευσης, επεξεργασίας και 
μεταφοράς των απόρρητων δεδομένων επικοινωνιών. 

(β) Ο πάροχος διαδικτύου έχει τον τελικό λόγο σε θέμα¬ 
τα πρόσβασης (φυσικής και μη) στα συστήματα αποθή¬ 
κευσης, επεξεργασίας και μεταφοράς των απόρρητων 
δεδομένων επικοινωνιών. 

(γ) Ο πάροχος υπηρεσίας εφαρμογής οφείλει να γνω¬ 
στοποιεί στον πάροχο διαδικτύου το προσωπικό το οποίο 
θα έχει φυσική και μη πρόσβαση στα συστήματα αποθή¬ 
κευσης, επεξεργασίας και μεταφοράς των απόρρητων 
δεδομένων επικοινωνιών. 

12. Ο πάροχος υπηρεσίας εφαρμογής υποχρεούται να 
χρησιμοποιεί διαδικασίες και μεθόδους κρυπτογράφη¬ 
σης των απόρρητων δεδομένων επικοινωνίας, όπως αυ¬ 
τές ορίζονται στην Πολιτική Χρήσης Κρυπτογραφικών Αλ¬ 
γορίθμων του παρόχου διαδικτύου. 

13. Ο πάροχος υπηρεσίας εφαρμογής οφείλει να εφαρ¬ 
μόζει την Πολιτική Κωδικών (ΡαεεννοΓά ΡοΙίσγ) του παρό¬ 
χου διαδικτύου ως προς τα συστήματα αποθήκευσης, 
επεξεργασίας και μεταφοράς των απόρρητων δεδομέ¬ 
νων επικοινωνιών. 

14. Ο πάροχος υπηρεσίας εφαρμογής οφείλει να ενη¬ 
μερώνει εγγράφως τον πάροχο διαδικτύου ως προς τις 
διαδικασίες ελέγχου ασφάλειας που ακολουθεί σχετικά 
με την επαλήθευση ταυτότητας (αυίάθηίίσαΐίοη), εξουσιο¬ 
δότηση (ευίΙιοΐΊζαΙίοη) και αποκάλυψη κενών ασφάλειας 
των εφαρμογών παγκόσμιου ιστού (\ΛΛΛΛΛ/). 

15.0 πάροχος διαδικτύου οφείλει να έχει την έγγραφη 
διαβεβαίωση του παρόχου υπηρεσίας εφαρμογής σχετι¬ 
κά με την αποδοχή και πλήρη εφαρμογή των μέτρων δια¬ 
σφάλισης του απορρήτου των επικοινωνιών που περιγρά- 
φονται στις προηγούμενες παραγράφους. 

16. Η πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμο¬ 
γής συνίσταται να ορίζει χρηματικές ποινές, ακόμα και 
την κατάργηση του συμβολαίου, για την περίπτωση κατά 
την οποία ο πάροχος υπηρεσίας εφαρμογής παραβεί τα 
μέτρα διασφάλισης του απορρήτου των επικοινωνιών. 




1058 


ΕΦΗΜΕΡΙΣ ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ (ΤΕΥΧΟΣ ΔΕΥΤΕΡΟ) 


ΚΕΦΑΛΑΙΟ VIII 

ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΒΑΣΗΣ ΥΠΕΡΓΟΛΑΒΙΑΣ 
Άρθρο 18 

Σύμβαση υπεργολαβίας με σκοπό 
την διασφάλιση απορρήτου 

1. Σε κάθε περίπτωση όπου ο πάροχος διαδικτύου προ¬ 
βαίνει σε συμφωνία με τον εκάστοτε υπεργολάβο για την 
ανάληψη έργου το οποίο απαιτεί πρόσβαση σε εξοπλισμό 
ή λογισμικό το οποίο περιέχει ή παρέχει πρόσβαση σε δια¬ 
βαθμισμένα, ευαίσθητα ή απόρρητα δεδομένα, ο πάρο¬ 
χος διαδικτύου είναι υποχρεωμένος να διαφυλάσσει το 
απόρρητο των πληροφοριών. 

2. Για την διασφάλιση του απορρήτου υπό συνθήκες 
υπεργολαβίας απαιτείται η υπογραφή συμβάσεως προ¬ 
στασίας του απορρήτου των πληροφοριών. Ιδιαίτερη 
προσοχή πρέπει να δίνεται στη διασφάλιση του απορρή¬ 
του των επικοινωνιών, σε περιπτώσεις που απαιτείται 
πρόσβαση από τον υπεργολάβο σε εξοπλισμό ή λογισμι¬ 
κό το οποίο χρησιμοποιείται στις επικοινωνίες ή αποθη¬ 
κεύει πληροφορίες επικοινωνιών. 

3. Η σύμβαση μεταξύ παρόχου διαδικτύου και υπεργο- 
λάβου πρέπει να περιέχει τουλάχιστον τις παρακάτω πα¬ 
ραγράφους. 

4. Ο υπεργολάβος σε καμία περίπτωση δεν έχει το δικαί¬ 
ωμα να προβεί στην καταπάτηση του απορρήτου όπως αυ¬ 
τό περιγράφεται και διαφυλάσσεται από την είδη υπάρ- 
χουσα πολιτική ασφάλειας του παρόχου διαδικτύου. 

5. Ο υπεργολάβος έχει λάβει γνώση της υπάρχουσας 
πολιτικής προστασίας του απορρήτου των τηλεπικοινω¬ 
νιών του παρόχου διαδικτύου, και ενυπόγραφα συμφωνεί 
με τους όρους, προϋποθέσεις και περιορισμούς που επι¬ 
βάλλονται από την πολιτική αυτή. 

6. Το εκάστοτε πρόσωπο το οποίο εντέλει θα έχει πρό¬ 
σβαση στον ευαίσθητο εξοπλισμό / λογισμικό έχει λάβει 
ειδική άδεια από τον πάροχο διαδικτύου (και όχιτον υπερ- 
γολάβο) αφού πρώτα έχει ενημερωθεί, συμφωνήσει και 
συνυπογράψει την σύμβαση διασφάλισης απορρήτου. 

7. Ο υπεργολάβος πρέπει να έχει την άδεια του παρό¬ 
χου διαδικτύου για να εκχωρήσει δικαιώματα χρήσης του 
ευαίσθητου εξοπλισμού σε τρίτους (εργολάβους). Κατά 
την εκάστοτε εκχώρηση δικαιωμάτων σε τρίτους επιβάλ¬ 
λεται να διατηρείται το ίδιο επίπεδο διασφάλισης του 
απορρήτου και να υπογράφονται αντίστοιχα συμφωνητι¬ 
κά μεταξύ των τρίτων και του παρόχου διαδικτύου. Ο 
υπεργολάβος σε καμιά περίπτωση δεν είναι εξουσιοδο¬ 
τημένος να παραχωρήσει αυτός δικαιώματα χρήσης. Πά¬ 
ντοτε η εκχώρηση δικαιωμάτων γίνεται από τον κύριο του 
έργου, δηλαδή τον πάροχο διαδικτύου και μόνο. 

8.0 πάροχος διαδικτύου ορίζει συγκεκριμένο φυσικό πρό¬ 
σωπο που είναι υπεύθυνο για την εποπτείατου υπεργολάβου 
καθώς και των τυχόν εργολάβων σε ζητήματα διασφάλισης 
απορρήτου, ο οποίος ονομάζεται Επόπτης Ασφάλειας. 

9. Τυχόν παραβίαση των κανόνων από τον υπεργολάβο 
χρίζει άμεσης καταγγελίας στην ΑΔΑΕ από τον καθορι¬ 
σμένο Επόπτη Ασφάλειας. 

ΚΕΦΑΛΑΙΟ IX 
ΕΛΕΓΧΟΣ ΚΑΙ ΕΠΟΠΤΕΙΑ 
Άρθρο 19 
Γ ενικά 

1. Οι πολιτικές που ορίστηκαν στον κανονισμό αυτό 
αποτελούν μέρος της γενικότερης Πολιτικής Ασφάλειας 


του παρόχου διαδικτύου, όπως αυτή ορίστηκε στον «Κα¬ 
νονισμό για την Διασφάλιση του Απορρήτου στις Διαδι¬ 
κτυακάς Επικοινωνίες και τις συναφείς Υπηρεσίες και 
Εφαρμογές». 

2. Κατά συνέπεια, η ΑΔΑΕ στα πλαίσια ελέγχου και επο- 
πτείας που καθορίστηκαν στον «Κανονισμό για την Δια¬ 
σφάλιση του Απορρήτου στις Διαδικτυακάς Επικοινωνίες 
και τις συναφείς Υπηρεσίες και Εφαρμογές», μπορεί ανά 
πάσα στιγμή να προβεί σε έλεγχο του καθορισμού, επιβο¬ 
λής και σωστής λειτουργίας των πολιτικών που ορίστηκαν 
στον κανονισμό αυτό. 

3. Σχετικά με τις λεπτομερείς διαδικασίες διενέργειας 
του ελέγχου καθώς καιτις προβλεπόμενες διοικητικές κυ¬ 
ρώσεις ισχύουν, κατ’ αναλογία, τα αναγραφόμενα στον 
«Κανονισμό για την Διασφάλιση του Απορρήτου στις Δια¬ 
δικτυακάς Επικοινωνίες και τις συναφείς Υπηρεσίες και 
Εφαρμογές». 

Άρθρο 20 

Πολιτική Χρήσης Κρυπτογραφικών Αλγορίθμων 

1. Η ΑΔΑΕ μπορεί ανά πάσα στιγμή να ζητήσει πλήρη 
ενημέρωση από τους παρόχους διαδικτύου και από τους 
παρόχους υπηρεσίας εφαρμογής σχετικά με την τεχνική 
ή αλγόριθμο κρυπτογράφησης που χρησιμοποιεί στα συ¬ 
στήματα μετάδοσης ή ανά πεδίο εφαρμογής καθώς και το 
μήκος του κλειδιού. 

2. Η ΑΔΑΕ μπορεί να κάνει αυτοψία για να διαπιστώσει 
αν όντως εφαρμόζονται οι τεχνικές κρυπτογράφησης 
όπως δηλώνονται από τους πάροχους διαδικτύου και 
τους πάροχους υπηρεσίας εφαρμογής. 

Άρθρο 21 

Πολιτική Προστασίας Κωδικών Ασφάλειας 

1. Η ΑΔΑΕ δύναται ανά πάσα στιγμή να διενεργήσει 
έλεγχο σε οποιονδήποτε φορέα εμπίπτει στη δικαιοδοσία 
της αναφορικά με την πολιτική κωδικών ασφάλειας. 

2.0 υπό έλεγχο φορέας οφείλει να παραδώσει στα στε¬ 
λέχη της ΑΔΑΕ όλα τα έντυπα στα οποία έχουν καταγρά¬ 
φει οι πολιτικές κωδικών ασφάλειας καθώς και τυχόν σχε¬ 
τικό συνοδευτικό υλικό, π.χ. έγγραφα με οδηγίες και φόρ¬ 
μες που δίδονται στους χρήστες. 

Άρθρο 22 

Πολιτική Προστασίας από Ιούς 

1. Η ΑΔΑΕ μπορεί να κάνει αυτοψία για να διαπιστώσει 
αν όντως ο πάροχος εφαρμόζει Πολιτική Προστασίας 
από Ιούς, διαθέτει απαραίτητα συστήματα προστασίας 
από ιούς (ειδικό λογισμικό και ειδικός δικτυακός εξοπλι¬ 
σμός) και ακολουθεί τις διαδικασίες που περιγράφονται 
στις αντίστοιχες διατάξεις του παρόντος. 

2. Η ΑΔΑΕ μπορεί ανά πάσα στιγμή να τροποποιήσει τις 
διατάξεις που αφορούν στην Πολιτική Προστασίας από 
Ιούς, έτσι ώστε να είναι σε πλήρη αντιστοιχία με τις εκάστο¬ 
τε νέες τεχνολογίες προσβολής και προστασίας των υπο¬ 
λογιστικών συστημάτων από ιούς. Μετά από κάθε τέτοιου 
είδους τροποποίηση, ο πάροχος οφείλει να προσαρμόζει 
την Πολιτική Προστασίας από Ιούς αναλόγως, εντός της 
προθεσμίας που θα ορίζεται από το κείμενο τροποποίησης. 

Άρθρο 23 

Πολιτική Ασφάλειας Παρόχου Υπηρεσίας Εφαρμογής 

1. Η ΑΔΑΕ μπορεί να κάνει αυτοψία για να διαπιστώσει 
αν όντως ο πάροχος διαδικτύου διαθέτει και εφαρμόζει 
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πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμογής 
σύμφωνα με τις αντίστοιχες διατάξεις του παρόντος. 

2. Η ΑΔΑΕ μπορεί να κάνει αυτοψία για να διαπιστώσει 
αν ο πάροχος υπηρεσίας εφαρμογής εφαρμόζει την πο¬ 
λιτική ασφαλείας παρόχου υπηρεσίας εφαρμογής σύμ¬ 
φωνα με τις αντίστοιχες διατάξεις του παρόντος. Υπενθυ¬ 
μίζεται ότι ο πάροχος διαδικτύου είναι ο τελικός υπεύθυ¬ 
νος για την εφαρμογή και εποπτεία της πολιτικής αυτής 
από τον πάροχο υπηρεσίας εφαρμογής. 

3. Η ΑΔΑΕ μπορεί ανά πάσα στιγμή να τροποποιήσει τις 
διατάξεις που αφορούν στην πολιτική ασφάλειας παρόχου 
υπηρεσίας εφαρμογής. Μετά από κάθε τέτοιου είδους 
τροποποίηση, ο πάροχος διαδικτύου οφείλει να προσαρ¬ 
μόζει την πολιτική ασφάλειας παρόχου υπηρεσίας εφαρ¬ 
μογής και να ενημερώνει τον πάροχο υπηρεσίας εφαρμο¬ 
γής αναλόγως. Τόσο ο πάροχος διαδικτύου, όσο και ο πά¬ 
ροχος υπηρεσίας εφαρμογής οφείλουν να ολοκληρώνουν 
τις αλλαγές που απαιτούνται εντός της προθεσμίας που θα 
ορίζεται από το κείμενο τροποποίησης. 

Άρθρο 24 

Αρχές Πιστοποίησης 

1. Σκοπός των αρχών πιστοποίησης είναι να επαληθεύ- 
ουντην αντιστοιχία μιας οντότητας (π.χ. ενός φυσικού προ¬ 
σώπου) με το δημόσιο κλειδί της. Η επαλήθευση γίνεται με 
την έκδοση των λεγάμενων ψηφιακών πιστοποιητικών. 

2. Οι οργανισμοί που μπορούν να δραστηριοποιηθούν 
στην Ελλάδα ως Αρχές Πιστοποίησης είναι υπό τον έλεγ¬ 
χο της ΑΔΑΕ. Η ΑΔΑΕ θα επιβλέψει ότι η αρχή πιστοποίη¬ 
σης είναι σύμφωνη με την υπάρχουσα νομοθεσία. 


3. Η ΑΔΑΕ όποτε κρίνει απαραίτητο θα εκδίδει τεχνι¬ 
κούς ή μη κανονισμούς και συστάσεις που αφορούν τη 
λειτουργία των αρχών πιστοποίησης με κριτήριο την αξιο¬ 
πιστία και την ασφαλή λειτουργία αυτών. 

ΚΕΦΑΛΑΙΟ X 

ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ 
Άρθρο 25 

Μεταβατικές Διατάξεις 

1. Όλοι οι πάροχοι διαδικτύου υποχρεούνται: 

(α) Να ενημερώσουν ως προς την εφαρμοζόμενη πολι¬ 
τική ασφάλειας την ΑΔΑΕ εντός έξι (6) μηνών από τη δη¬ 
μοσίευση του παρόντος. 

(β) Να εφαρμόζουν την εγκριθείσα από την ΑΔΑΕ πολι¬ 
τική ασφάλειας εντός ενός (1) έτους από την έγκρισή της. 

ΚΕΦΑΛΑΙΟ XI 
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ 

Άρθρο 26 
Έναρξη Ισχύος 

Ο παρών Κανονισμός τίθεται σε ισχύ από την ημερομη¬ 
νία δημοσίευσής του στην Εφημερίδα της Κυβερνήσεως. 

Ο παρών Κανονισμός να δημοσιευθεί στην Εφημερίδα 
της Κυβερνήσεως. 

Αθήνα,14 Ιανουάριου 2005 

Ο Πρόεδρος 

ΑΝΔΡΕΑΣ ΛΑΜΠΡΙΝΟΠΟΥΛΟΣ 
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30 

Διακηρύξεων Δημοσίων Συμβάσεων 

Ετήσιο 

200 

Γ 

Ετήσιο 

50 

Διακηρύξεων Δημοσίων Συμβάσεων 

Εβδομαδιαίο 

5 

Δ' 

Ετήσιο 

220 

Α.Ε. & Ε.Π.Ε 

Μηνιαίο 

100 

Δ' 

3μηνιαι'ο 

60 




• Η τιμή πώλησης μεμονωμένων Φ.Ε.Κ ειδικού ενδιαφέροντος σε μορφή οά-Γοπι και μέχρι 100 σελίδες σε 5 θυτο προσαυξανόμενη κατά 

1 θυτο ανά 50 σελίδες. 






• Η τιμή πώλησης σε μορφή οά-Γοηη δημοσιευμάτων μιας εταιρείας στο τεύχος Α.Ε. και Ε.Π.Ε. σε 5 θυτο ανά έτος. 


ΠΑΡΑΓΓΕΛΙΑ ΚΑΙ ΑΠΟΣΤΟΛΗ Φ.Ε.Κ.: 

τηλεφωνικά : 210-4071010, ίοχ : 210 - 4071010 ίηΙθίΎίθΙ 

Η 11 ρ://νννννν.θ 1 . 9 ΐ·. 


ΕΤΗΣΙΕΣ ΣΥΝΔΡΟΜΕΣ Φ.Ε.Κ. 


Σε έντυπη μορφή 


Από το ΙπΙθγπθΙ 


Α' (Νόμοι, Π.Δ., Συμβάσεις κτλ.) 

225 € 

190 € 

Β' (Υπουργικές αποφάσεις κτλ.) 

320 € 

225 € 

Γ' (Διορισμοί, απολύσεις κτλ. Δημ. Υπαλλήλων) 

65 € 

ΔΩΡΕΑΝ 

Δ' (Απαλλοτριώσεις, πολεοδομία κτλ.) 

320 € 

160 € 

Αναπτυξιακών Πράξεων και Συμβάσεων (Τ.Α.Π.Σ.) 

160 € 

95 € 

Ν.Π.Δ.Δ. (Διορισμοί κτλ. προσωπικού Ν.Π.Δ.Δ.) 

65 € 

ΔΩΡΕΑΝ 

Παράρτημα (Προκηρύξεις θέσεων ΔΕΠ κτλ.) 

33 € 

ΔΩΡΕΑΝ 

Δελτίο Εμπορικής και Βιομ/κής Ιδιοκτησίας (Δ.Ε.Β.Ι.) 

65 € 

33 € 

Ανωτάτου Ειδικού Δικαστηρίου (Α.Ε.Δ.) 

10 € 

ΔΩΡΕΑΝ 

Ανωνύμων Εταιρειών & Ε.Π.Ε. 

2.250 € 

645 € 

Διακηρύξεων Δημοσίων Συμβάσεων (Δ.Δ.Σ.) 

225 € 

95 € 

Πρώτο (Α'), Δεύτερο (Β') και Τέταρτο (Δ') 

- 

450 € 


»Το τεύχος του ΑΣΕΠ (έντυπη μορφή) θα αποστέλλεται σε συνδρομητές με την επιβάρυνση των 70 θυΐΌ, ποσό το οποίο αφορά 
ταχυδρομικά έξοδα. 

> Για την παροχή δικαιώματος ηλεκτρονικής πρόσβασης σε Φ.Ε.Κ. προηγουμένων ετών και συγκεκριμένα στα τεύχη Α', Β', Δ', Αναπτυ¬ 
ξιακών Πράξεων & Συμβάσεων, Δελτίο Εμπορικής και Βιομηχανικής Ιδιοκτησίας και Διακηρύξεων Δημοσίων Συμβάσεων, η τιμή 
προσαυξάνεται πέραν του ποσού της ετήσιας συνδρομής έτους 2005, κατά 25 θυτο ανά έτος παλαιότητας και ανά τεύχος, για δε το 
τεύχος Α.Ε. & Ε.Π.Ε., κατά 30 Θυτο. 


1 Οι συνδρομές του εσωτερικού προπληρώνονται στις ΔΟΥ (το ποσό συνδρομής καταβάλλεται στον κωδικό αριθμό εσόδων ΚΑΕ 2531 
και το ποσό υπέρ ΤΑΠ ΕΤ (5% του ποσού της συνδρομής) στον κωδικό αριθμό εσόδων ΚΑΕ 3512) .Το πρωτότυπο αποδεικτικό είσπραξης 
(διπλότυπο) θα πρέπει να αποστέλλεται ή να κατατίθεται στην αρμόδια Υπηρεσία του Εθνικού Τυπογραφείου. 

1 Η πληρωμή του υπέρ ΤΑΠΕΤ ποσοστού που αντιστοιχεί σε συνδρομές, εισπράπεται και από τις ΔΟΥ. 

1 Οι συνδρομητές του εξωτερικού έχουν τη δυνατότητα λήψης των δημοσιευμάτων μέσω ίπίβητεί, με την καταβολή των αντίστοιχων 
ποσών συνδρομής και ΤΑΠΕΤ. 

1 Οι Νομαρχιακές Αυτοδιοικήσεις, οι Δήμοι, οι Κοινότητες ως και οι επιχειρήσεις αυτών πληρώνουν το μισό χρηματικό ποσό της 
συνδρομής και ολόκληρο το ποσό υπέρ του ΤΑΠΕΤ. 

1 Η συνδρομή ισχύει για ένα ημερολογιακό έτος. Δεν εγγράφονται συνδρομητές για μικρότερο χρονικό διάστημα. 

1 Η εγγραφή ή ανανέωση της συνδρομής πραγματοποιείται το αργότερο μέχρι την 3 Ιην Δεκεμβρίου κάθε έτους. 

1 Αντίγραφα διπλοτύπων, ταχυδρομικές επιταγές και χρηματικά γραμμάτια δεν γίνονται δεκτά. 


Οι υπηρεσίες εξυπηρέτησης των πολιτών λειτουργούν καθημερινά από 08.00' έως 13.00' 


ΑΠΟ ΤΟ ΕΘΝΙΚΟ ΤΥΠΟΓΡΑΦΕΙΟ 





























